閱讀文章 - 精華區 C_Chat - 批踢踢實業坊

●85768 2712/08 onelife R[閒聊] 有逛日本網頁的最近注意下綁架病毒

文章代碼(AID)#1MPj4EeS (C_Chat) [ptt.cc]

作者: onelife (旺來) 看板: C_Chat 標題: Re: [閒聊] 有逛日本網頁的最近注意下綁架病毒時間: Tue Dec 8 20:46:04 2015 好的，我來分享一下中毒經驗... 我是在上週五中的電腦平日就開著下載東西，然後下班回家後發現資料幾乎全滅它加密後會將副檔名改成.vvv，並在每個資料夾都擺上一份勒索文件勒索文件內容如下 http://imgur.com/RbUU1ZK http://imgur.com/boouumi 我有看到被加密、沒加密的副檔名：執行檔 exe,dll,bat 都沒加密文件 txt,pdf,office各類文件都被加密 js,py被加密圖檔 jpg,png被加密，bmp,gif沒有 psd,ai被加密，xcf沒有影音 avi,mp4,flv,wmv被加密，mkv,mpg沒有 mp3,wav也沒有壓縮檔 zip,rar,7z 被加密，tar沒有至於加密時間除了ssd系統碟外，我另有三顆硬碟分別是1T,2T,3T，容量9成滿從檔案修改時間來看，被加密的時間應該是從周五的下午3點開始持續到9點多這時仍有部份檔案沒被加密到，可能還沒全部跑完另外我是上午7點左右離開電腦的，不知為何病毒下午才開始加密也許有以閒置時間為條件因為加密過程我人不在，不知道加密時有什麼特徵例如CPU使用率會不會飆高，或是加密的優先順序之類但如果在加密初期，你人在電腦前有察覺到異常那立刻關機應該還能挽回多數檔案我不清楚這個病毒是不是與日本在討論的一樣但如果我是在日本網站中標，那比較可能是來自nico 因為我平常有在上的日本網站也就只有nico 另外作業系統是Win7 64bit 中毒前Flash確定已更新到最新，瀏覽器是Firefox，有用ABP 防護只有小紅傘免費版和win內建防火牆，沒有HIPS -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.42.144.158 ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1449578766.A.A1C.html

→ medama: 慘... 12/08 20:47

→ peter210731: 拍拍 12/08 20:49

推 erik777: 通常加密CPU會衝高 12/08 20:50

→ onelife: 是所有核心都會用到嗎? 如果只有單核，也許不易察覺 12/08 20:52

推 SuperSg: 根據日前推文所敘，會先從桌面開始封，所以感覺怪怪的 12/08 20:53

→ SuperSg: 就先看一下桌面出事沒 12/08 20:53

→ SuperSg: 接著拔網路線，再繼續處理後續動作 12/08 20:53

推 cloud7515: 拔網路線會停嗎… 12/08 20:55

→ onelife: 直接關機後把硬碟拆下，拿到別台電腦看比較保險 12/08 20:57

推 tonyxfg: 拿到別台電腦插上去前應該還要做防護措施吧? 12/08 21:04

→ sudekoma: ......感染途徑有沒有可能是開著的p2p軟體? 12/08 21:04

推 louie83279: 這到底是怎麼中的?日本網站?p2p軟體下載時中毒? 12/08 21:06

→ john5478: 不曉得linux是不是安全的... 12/08 21:08

→ sudekoma: 事情傳到現在還沒辦法釐清病毒來源，總覺得有幾種可能 12/08 21:11

→ cocolico: bitdefender有出專用疫苗,可以試試看 12/08 21:11

→ cocolico: pdf跟java也要更新 12/08 21:11

推 tomalex: 加密右下硬碟指示燈會一直狂轉吧y 12/08 21:12

→ sudekoma: 1.感染途徑不方便與外人道 EX:免空下載網站廣告或P2P 12/08 21:13

→ sudekoma: 2.只要連網就可能被隨機攻擊的 12/08 21:14

推 louie83279: 靠，連網就會中?太恐怖了吧！根本防不住啊？ 12/08 21:15

→ sudekoma: 3.部分愉快犯刻意流傳不實的感染途徑(如antiまとめ者) 12/08 21:15

→ darkbrigher: 下載東西時就有可能藏在壓縮檔裡 12/08 21:19

→ darkbrigher: 這病毒可怕之處就是根本檔不了 12/08 21:20

推 Galm: 節哀...感覺沒中的人只是好運而已,不知道啥時候會中標 12/08 21:20

推 minihyde: 好可怕 12/08 21:21

→ sudekoma: 十年前的疾風病毒就是隨機偵測有連線的主機闖進來啊... 12/08 21:21

→ onelife: 下載我是用uTorrent，也很久沒更新了，不知道有無影響 12/08 21:22

→ onelife: 從後續受害消息沒有很大量來看，感染途徑似乎不活躍? 12/08 21:22

→ onelife: 所以應該不是主動入侵或泛用的系統漏洞 12/08 21:23

→ Galm: 如果BT的話我發現最近qb更新檔出的很勤快...不知道是否有關 12/08 21:24

→ sudekoma: 之前影刃說這東西沒潛伏期，中了就會開始跑 12/08 21:25

→ Galm: 以前了不起三個月一次更新,最近是一個月內兩次更新 12/08 21:25

→ Galm: 就中了它會讓你知道,沒必要潛伏就是勒索你... 12/08 21:25

→ sudekoma: 既然原PO是在離開的時候才發毒， 12/08 21:26

推 sorochis: 爬前面文章，有人提到CHROME是沙盒運作所以沒問題 12/08 21:26

→ sudekoma: 表示應該也沒點什麼廣告可以讓毒發作.... 12/08 21:26

→ sorochis: 這個倒是不一定喔 12/08 21:26

→ sudekoma: 所以只好猜是開著P2P的影響..... 12/08 21:27

→ sudekoma: 離開時被家人好奇點了恭喜中iPHONE6的廣告這樣(?) 12/08 21:28

→ onelife: 也不一定，如果已經中毒，病毒想什麼時候跑都可以吧 12/08 21:28

推 louie83279: BT嫌疑最大啊……但這裡又不能討論用什麼載BT最安全 12/08 21:28

推 yuyemoon: 如果有視閒置時間，像我這樣開著就用，幾小時後沒使用就 12/08 21:31

→ yuyemoon: 關電腦，如果中了是要什麼時候發作啊 12/08 21:31

推 sorochis: 寫一個小程式，監控桌面的某個*.txt，發現檔案不見了就 12/08 21:32

→ sorochis: 關機這樣 12/08 21:33

→ sudekoma: https://www.youtube.com/watch?v=oMHZ17DEo5U 12/08 21:37

→ sudekoma: 剛才找到別人的測試影片。連上有問題的網址就會中毒。 12/08 21:39

→ sudekoma: 連上去過了15秒就自動跳出勒索說明，並加密桌面文件 12/08 21:40

推 shadowblade: 我中的那個不會鎖txt 12/08 21:40

→ sudekoma: 影片主說是半年前錄的，所以也不知道有多少亞種了 12/08 21:41

推 Foot: 發現中毒馬上關機停止加密然後把加密檔案刪除就好了嗎? 12/08 21:48

→ Foot: 還是還要重灌? 既然系統檔沒事把資料碟清空就可以了嗎? 12/08 21:50

推 sorochis: 要刪除的應該不是加密檔案，是躲起來的加密後台 12/08 21:50

→ darkbrigher: 看討論是馬上關機只是讓你有機會備份 12/08 21:50

推 spfy: 可以爬防毒版目前結論是付錢比較快雖然有可能撕票 12/08 21:51

→ intela60474: 有沒有用chrome也中標的？ 12/08 21:52

→ sorochis: 寫一個小程式，監控桌面的*.TXT *.MP4 *.AVI等等全部 12/08 21:52

→ sorochis: 只要一個檔案不見了就下警告文件然後關機這樣 12/08 21:53

→ sorochis: 回家發現電腦關機了就拔硬碟道別台電腦看有沒有警告文件 12/08 21:53

→ spfy: 已經被加密檔案的沒傳染性木馬本體才有傳染性而且會去找所 12/08 21:53

→ spfy: 有區網有權限的地方全部加密再來是加密時需要用網路傳金鑰 12/08 21:53

→ spfy: 所以斷網似乎有用前提是你有發現正在被加密 12/08 21:53

→ sorochis: 加密時需要用網路傳金鑰應該只是一開始吧？ 12/08 21:54

→ sorochis: 不然難道加密了上萬個檔案，全部的金鑰都不一樣嗎？ 12/08 21:54

→ spfy: 現在變種非常多每隻變種針對的檔案類型不同卡巴的解藥和bi 12/08 21:55

→ spfy: tdeffender的防護也僅限於極少數的分支變種 12/08 21:55

→ onelife: 也有不需連網的加密勒索病毒 12/08 21:55

→ onelife: http://www.ithome.com.tw/news/99827 12/08 21:56

→ spfy: 防毒版比較詳細因為強國這裡似乎沒什麼災情完全沒看到人中 12/08 21:56

推 yam276: 不需連網的有可能反組譯找出加密金鑰嗎 12/08 22:50

推 spfy: 以人類目前技術不可能因為都是RSA-2048加密 12/08 23:04

推 erik777: 能夠把檔案加密應該是透過某途徑把病毒檔抓到了本機上 12/08 23:56

→ erik777: 單純斷網是無效的因為病毒程式已經在硬碟裡了 12/08 23:56

推 jiko5566: 該死的win8天天爆cpu,怎麼看的出來... 12/09 00:02

推 louie83279: 用沙盒開網頁“應該“可以有效防止被綁架吧……? 12/09 00:33

推 reaturn: 開VM上網或是分成上網用電腦跟作業用電腦 12/09 02:44

推 belion: vm的話,virtual pc 效能還不錯,vmware吃太多資源了 12/09 03:27

→ udo: 所以原po的感染原因是下載bt? 12/09 03:43

推 blackwindy: 拔網路線沒甚麼屁用甚至離線板都有了 12/09 04:37

→ blackwindy: 請問一下使用的Firefox版本? 是官方版本還是特殊版? 12/09 04:51

→ blackwindy: 另外使用的BT版本? 最近有執行什麼抓來的謎物嗎? 12/09 04:52

→ onelife: Firefox是portableapps下的38.0.5，之後沒在更新 12/09 09:12

→ onelife: BT是用uTorrent版本有點忘了，好像3.2.X 12/09 09:13

→ onelife: 謎物就沒印象了，最近都在搞PS3的東西，PC主要只在玩WOW 12/09 09:14

→ onelife: Diablo這些而已 12/09 09:15

推 ss1h2a3tw: 用linux 只要有基本權限安全知識就好了 12/09 10:31

→ painvano: 好在意究竟是因為uTorrent中毒或是下載的軟體? 12/09 11:26

推 blackwindy: 那應該是firefox沒更新的緣故有多個漏洞在舊版本 12/09 13:09

→ Galm: 雖然很多人常說都把OS更新或瀏覽器更新還什麼程式更新關閉 12/09 13:15

→ Galm: 但說真的不是很建議,有不少更新大多是會針對安全性漏洞補強 12/09 13:16

推 blackwindy: CVE-2015-0817 這個吧 12/09 13:19

→ blackwindy: 要有個觀念是這種開源的東西一定要更新 12/09 13:20

→ blackwindy: 因為他們的漏洞也是開源的大家都看的到 12/09 13:20

推 contrav: 拔網路線是防止NAS以及雲端的資料同時被加密啦 12/09 15:36

推 aria0520: 你被加密時bt開著？ 12/09 17:00

→ yogira: 資訊還是太少，這樣根本無法做為有效判斷 12/09 17:33

→ onelife: 有解密方法了！中毒的可以試試看！http://goo.gl/gngMqZ 01/04 22:30