看著板上勒索病毒的文來來去去
一直也慶幸自己沒中過 不過也只到昨天而已
我自己知道是操作是在高風險環境 所以只是經驗分享而已
看看就好 不用指責我 :P
環境:虛擬機中的WINDOWS7 無防毒 使用者帳戶控制:關閉
操作過程:
用IE在找一些非正常的資料時 就只是看看網頁與下載檔案
途中沒點廣告相關連結 有碰過點網頁空白處就跳出視窗那種 也是他開起來就盡快關掉
都還沒有執行任何下載下來的檔案時就覺得虛擬機的反應變慢了
開始有幾個軟體打不開 感覺不太對勁時把工作管理員打開
發現有個a.exe正在執行 在TEMP資料夾下
馬上就把他終止執行 然後回到桌面
這時才發現桌面多了兩個東西 (因為在看網頁也不會一直回到桌面)
_HELP_HELP_HELP_xxxx_.png
_HELP_HELP_HELP_yyyy_.hta
看來是中毒了 來清點有什麼東西被加密了
程式會從C槽開始加密 依據資料夾檔名來依序加密
例如根目錄下AAA資料夾的東西就會比ZZZ資料夾來得早被加密
這支會加密影像檔 圖片檔 文件檔 跟資料庫檔(?) 不過倒是沒加密txt檔
被加密的檔案都變成"亂碼.B364" 資料夾內附贈上面兩個檔案
hta我就不開了 單附圖片內容參考
http://i.imgur.com/xJXhF3D.png
不清楚會不會透過區網散撥 因為我VM獨立一個區網
心得
虛擬機速度慢 所以電腦延遲很明顯能察覺出有問題
如果是正常使用的SSD電腦 可能在反應過來時就已經被加密完了
如果發現不對勁
可以開工作管理員/看桌面/看C槽前幾有放媒體資料夾的狀況來判斷是否有問題
這次碰上的還可以用工作管理員看出來並關掉
有些可能就沒那麼容易的 就是只能強制斷電一途然後尋求救援
並且不要在開機 不然比較狠的就順便在啟動加入 只要一起動電腦就再執行
當然最好的還是預先防範 例如安裝防毒
(非必要不要使用IE)只是聽來的 有沒有效果不知
然後不要去一些怪怪的網站 ^_<

用虛擬機中獎感覺好幸運。

可以測試使用者帳戶控制開啟嗎...謝謝

我不知道在哪個網站中毒 所以沒法重複測試或給連結

應該是從漏洞進來的

所以樣本還在嗎？或許可傳到VirusTotal之類的看看結果

我WIN7虛擬機也拿來逛一些顆顆網站 還沒中過我虛擬機的瀏覽器也有裝檔廣告那些的插件 但我沒防毒

檔案在當下就砍了 剛剛用資料救援看起來是找不到嚕我是沒裝檔廣告就是 一整個裸奔狀態

加密只要有用戶權限就可以跑了，uac不時是這樣用的

又是IE

系統還原只備份非個人資料你要查的是檔案歷程能不能復原

原PO和我朋友中的是同一種病毒^^"

IE也該上紅色

問題程序通常是從flash進來的，有防毒其實也不見得就能防的了

還好沒在用IE..

有用IE11讀IE only的網站 怕中獎還裝Adblock Plus for IE

還好mac裝bootcamp想中也中不了..(權限不給寫

網頁瀏覽紀錄還在嗎? 如果可以的話可以重新依序瀏覽一次