本篇對剛中病毒的人有參考價值,但對已經被加密的檔案無法提供幫助,先予說明。
發生原因:
點到廣告後連接到掛馬網頁(原本用CHROME開不了,後用IE開啟就中)
事中處理:
剛中CERBER,CPU使用率會飆高,中途會出現兩個CMD視窗,馬上開啟工作管理員查看CPU使用
率最高的程式,按右鍵進入病毒所在資料夾,用解鎖程式刪除(我用的是IOBIT UNLOCKER)
CERBER在我的電腦程式名稱為FC.exe,刪除之後就正常另外,用強制中止程序是沒用的
而且它會自動加入啟動項,下次開機他還是會自動運作,一定要確實刪除運作的檔案。
事後分析:
因為檔案都有備份,所以傷害對我而言並不大,所以我把所有加密的檔案通通刪除,因為
看了也礙眼(我是用EVERYTHING把所有.CERBER檔案刪除)
以下也是經過EVERYTHING分析結果
大概短短五分鐘就有5GB左右的檔案被加密,以JPG、RAR、TXT、PDF為主,但不以此為限
只要不會妨礙系統運作的檔案都是下手的目標,我磁碟有分成三區,它會三區掃描完後開
始同步加密。根據統計,在C槽(作業系統,也是病毒所在位置)它會從執行路徑附近資料
夾開始亂槍打鳥隨意加密,因為C槽是病毒所在,所以可能也造成被加密數量最多。
其次是放資料的D跟E,在這兩個磁區的攻擊模式(同步選擇1.資料夾容量最大跟內含檔案
數目最多 2.資料夾名稱排序在首位) 另外他會優先加密圖片檔(JPG、PNG),再來是TXT跟
RAR,而PDF這次只有兩個被加密,再來是微軟檔案一個也沒被加密讓我覺得有點奇怪。
預防措施:
聽說防毒現在可以掃到,不過那也是因為發生之後,病毒行為模式被解讀之後的事,所以
我們需要一個資料夾監控程式名叫directory monitor,它可以偵測資料夾或檔案的一切
變更行為,一但有變更下方會馬上出現氣泡通知,如果你發現你電腦都沒在使用卻一直出
現變更通知 就要非常小心。至於directory monitor有一些設定技巧 GOOGLE上也都沒有
較詳細說明,留待日後有時間會分享設定心得。
以上僅供參考!