關於這次的病毒,目前我看到的情況:
1、會在功能表的“啟動“目錄,放置三個檔案 html、jpg、txt
(所以每次開機時,都會自動跑出勒索訊息出來)
看不到是正常的…因為是 隱藏
2、啟動目錄還會有個link,
是連接到“C:\使用者\使用者名稱\AppData\Local\Temp“裡的一個dll檔,
而且在這個目錄裡面還會出現“svchost.exe“ or “rundll32.exe“,
感覺是用 dll檔+exe 去做加密
(這個目錄會出現這二個exe 是一件很奇怪的事……
附上奇怪的svchost.exe....
http://imgur.com/5NDuVB6 左邊是正常的,右邊是有問題的
3、此次病毒還會自殺!因為我有看到 進來的檔案有 Erase xxx dll的字眼
4、不再是加密掛載的網路磁碟、網芳上共享的目錄,只要有寫入權限…都會加密
備註:
1、
目前我在“C:\使用者\使用者名稱\AppData\Local\Temp“ 目錄
加上二個空目錄 SVCHOST.EXE、RUNDLL32.EXE 看看會不會有用…
http://imgur.com/efrw7MM 有變種的話…就無用了…
目前的樣本數是WIN7 SP1
(我不希望還有………………
2、事先的宣導真的很重要,
因為有朋友看到勒索訊息時,問我是什麼。
立馬衝下去請他閃開,把電源拔掉(斷網是無用的..)
還好剛開始加密而已…用開機光碟片,還能找回90%的資料
(為什麼不接在另一台PC上面救資料呢…,因為我不想救二台= =
※ 編輯: to5448 (175.180.249.111), 06/04/2016 20:24:50