[中毒] 勒索病毒

作者k078787878 (舟)

看板AntiVirus

標題[中毒] 勒索病毒

時間Mon Sep 19 08:59:35 2022

很不幸的中招了不知道點到啥載了一個看起來像是windows 最高層級的緊急更新.js檔案目前已經把所有感染檔案斷捨離但是目前還是有一些檔案搜尋得到但無法刪除 https://i.imgur.com/EQIlgQ5.jpg

無法開啟檔案位置 https://i.imgur.com/0T8trLL.jpg

用管理員權限也找不到無法刪除 https://i.imgur.com/ndxerYK.jpg

看樣子應該勢必要重灌想問一下後續還有什麼處理或應該注意的地方嗎？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.169.69.203 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1663549177.A.5B4.html

推 aglet: 平常用那套防毒？ 09/19 09:24

→ k078787878: Windows defender… 09/19 09:36

→ k078787878: 有裝adblock 現在不敢嘴硬乖乖裝防毒了 09/19 09:37

推 cute781108: 建議裝個有針對勒索做保護的防毒，自己裝PCCILLIN有 09/19 18:20

→ cute781108: 勒索剋星的功能，至少可以保住重要資料，保護指定資 09/19 18:21

→ cute781108: 料夾避免被惡意加密。惡意程式、連結的過濾能力也很 09/19 18:21

→ cute781108: 強 09/19 18:21

→ Klauhal: windows更新一直都不是js檔啊= = 09/19 18:44

→ hn9480412: Windows的手動更新都是msu副檔名，而且這種更新都會從 09/19 18:51

→ hn9480412: windows update下載 09/19 18:51

噓 gwofeng: 大概是遇到假的官方網頁叫他下載更新 09/19 19:24

→ gwofeng: 按到噓回推 09/19 19:24

推 gwofeng: 09/19 19:26

推 Ahhhhaaaa: 不是msi副檔名嗎 09/19 23:22

→ Ahhhhaaaa: 通常不是假的微軟網站而是各種充斥廣告的危險網站 09/19 23:22

→ Ahhhhaaaa: 隨便點空白處就自動下載一個windows更新用的msi檔 09/19 23:22

→ Ahhhhaaaa: 但只是下載下來不執行的話應該沒事才對吧 09/19 23:22

推 aglet: 看這麼多合購文卡巴安全軟體是最佳選擇。再搭配adguard p 09/20 00:27

→ aglet: ro 永久授權win版不貴也萬用，擋廣告擋釣魚擋惡意連結，更 09/20 00:27

→ aglet: 新速度超快，youtube休想彈出廣告。離線備份也不能少 09/20 00:27

→ k078787878: 補充一下我看到下載紀錄裡是一個winodws emergency u 09/20 09:29

→ k078787878: pdate.js檔案 09/20 09:29

→ k078787878: 真的是在搜尋一些冷門資料打開的奇怪網站就中標了 09/20 09:29

→ k078787878: 感覺比較像是騙過系統的script 去做加密？ 09/20 09:31

推 DsLove710: 不是你這種使用習慣用防毒軟體也沒用 09/20 22:16

→ k078787878: 願聞其詳 09/20 23:13

→ hn9480412: 不會判別是否是Windows更新就從Windows Update取得更新 09/21 02:01

→ hn9480412: 就好，不要直接從網路下載更新 09/21 02:02

→ k078787878: 再重申一次我沒有手動下載更新檔… 09/21 08:03

→ k078787878: 單純找資料點開網站跳出一個下載 09/21 08:11

→ k078787878: 檔名印象中是windows 緊急更新檔.js 09/21 08:12

→ k078787878: 因為已經清除確切名稱已經沒有了 09/21 08:12

推 lonberk: 使用者允許執行的程式防毒再會擋都沒用... 09/21 16:12

→ k078787878: 我也沒有允許執行…下載檔案後直接加密… 09/22 08:03

→ skycat2216: 這不太可能，除非還有什麼隱藏的RCE漏洞或內部配合， 09/22 09:46

→ skycat2216: 不然. js檔案不能主動執行 09/22 09:46

→ skycat2216: 而且 js檔也不能調用這些API 09/22 09:46

→ k078787878: 應該是全新的漏洞吧目前也沒有搜尋到這個加密的資料 09/22 11:57

→ k078787878: 跳出下載後來不及按取消下載檔案蠻小的 09/22 12:00

→ k078787878: 自動跳出一個edge視窗（原本是用chrome瀏覽） 09/22 12:00

→ k078787878: 顯示你的檔案已經被加密跟贖金相關資訊 09/22 12:00

→ k078787878: 桌面還留有一個readme 怕你關掉網頁忘記相關資訊 09/22 12:00

→ fly9588: ...事實就是證明你有下載並且執行了才會有這個狀況出來啊 09/22 13:27

→ k078787878: 應該說我並沒有自己去執行 09/22 23:52

→ k078787878: 而是下載完畢後自己執行… 09/22 23:52

推 Ahhhhaaaa: 點網頁空白處或者點了什麼網頁就自動下載 09/23 05:38

→ Ahhhhaaaa: 要防止的話就去瀏覽器設定下載要經過你的手動選擇路 09/23 05:39

→ Ahhhhaaaa: 徑不要自動預設一個下載路徑 09/23 05:39

→ Ahhhhaaaa: 我學乖了之後都是這樣好像比較有用 09/23 05:39

→ k078787878: 感謝提供一個方法 09/24 11:05