聽說勒索病毒wannacry從昨天12日就有行動。
各位前輩大家好,是這樣的,
我的作業系統是win7,
有花三千多塊買過光碟、序號的那種。
但這次的事件爆發前,我並沒有啟用自動windows update,
我承認是我傻,
所以把自己先當作現在事件的高風險群,
想上來請教各位前輩們一些私人疑慮。
我在12日晚上就有在用電腦了,
但13日傍晚6點AVAST才開始告訴我有個mss開頭的exe檔案一直被他擋掉,
前後總共出現了三次警告,
並建議我進行下次開機後的安全掃描。
根據剛剛的掃描結果,
防毒[scanning]後面給我的敘述是說
它有找到一個win32:/wanacry-a的東西
我是輸入[2 - to all]並讓他繼續執行掃描。
開機後桌面並沒有像是其他win7使用者一樣被改成黑底紅字,
桌面也沒看到被更改副檔名的檔案,
但我還是心驚驚,不確定是不是病毒還沒開始行動的潛伏期而已。
電腦裡沒有太多重要文件,
但充滿回憶的旅遊照片是有一些的!
我目前希望能安全備份出這些資料,
再將整個os用光碟重灌。
問題來了:
1.還不確定電腦是否中標,
那我先拔網路線,
進f8安全模式,
假使真的有病毒,
病毒這時候會運作並開始進行加密的動作嗎?
設立最慘的情況,
假設中毒,
一樣用f8進安全模式,
此時插入乾淨的隨身碟,
拿出來的照片是否都是安全的文件?
(副檔名沒有異狀的那些)
2.當我重灌時,先拔掉網路線,
灌完win7後把大家說的445port關掉,
再用手機下載前面文章的微軟更新包,
用線傳輸手機檔案給桌機並開始安裝,
完全更新完畢後才插上網路線,
這樣的整個流程是正確的嗎?
更新完windows update就可以再把那個port重新打開了沒錯吧?
3.照上面的順序重灌完,
是不是先等風頭結束,
暫時不使用電腦比較好。
以預防短時間內,
未來其他的新wncry變種攻擊?
作者:
rand (time(NULL))
2017-05-14 01:33:00不用開吧 有用到在開就好了
135,139,445這些都是平常用不到的PORT了
作者:
LOVEMS (ç‰åˆ°è¶ŠéŽå¤©ç©ºé‚£å¤©)
2017-05-14 01:35:00沒有用網芳不開445應該沒差
作者:
gwofeng (宮山洋行)
2017-05-14 01:35:00安全模式備份檔案不會有事 不過記得選離線備份的檔案不會有傳染風險
作者:
gowaa (囧mmmmmmmmmmmz)
2017-05-14 01:37:00先問您打開對您有何用? 備分最重要 其次是更新
作者: rokeptt (阿哲) 2017-05-14 01:39:00
用正常模式離線備份可以嗎?
作者:
Radiomir (Radiomir)
2017-05-14 01:41:00先備份,這次Avast救你一命,下次能否這麼幸運不知道.
作者:
trywish (一一二)
2017-05-14 01:43:00先拔網路線,然後進安全模式看能不能備份。備份結束有兩個動作可以試試看,1.把資料夾含內部檔案全改唯獨。 2.不
作者: f1426871 (熊寶) 2017-05-14 01:44:00
不確定安全模式那個沒接上網路,直接拔掉網路線,最直接
作者:
trywish (一一二)
2017-05-14 01:44:00怕麻煩就重要的改掉副檔名。然後正常開機(雖然應該是已經擋掉了),不過有些東西失去就沒了。之後拿隨身碟快點拷出去,在把防火牆打開去擋445,然後系統更新,在掃一次毒嘛,一個一個改副檔名應該會瘋掉,不然就全部壓縮成備份二號(原本留著),把壓縮檔副檔名改一下,看你要abcde,還是其他奇奇怪怪沒看過的檔名都可以。
作者:
gowaa (囧mmmmmmmmmmmz)
2017-05-14 01:49:00感謝樓上
拔硬碟外接備份更安全,出大絕就拿去Linux電腦備份這樣可避免用被感染的系統開機
作者:
gwofeng (宮山洋行)
2017-05-14 01:54:00因為不知道安全模式下有聯網的話 會不會又被闖一次
作者:
trywish (一一二)
2017-05-14 01:55:00安全模式好像有可以連網的,所以直接說拔網路線。但因為
作者:
Radiomir (Radiomir)
2017-05-14 01:55:00Win自動更新B>z,有時當機,有時硬體驅動gg,我也關閉.
不過用Linux Base的系統進去撈資料備份還是更加安全
作者:
trywish (一一二)
2017-05-14 01:56:00可以防範的方式,但大家都沒測試,所以只能假設有用。
作者:
trywish (一一二)
2017-05-14 01:59:00病毒有很多種,一般都是直接找副檔名,如果每個檔案都要開起來檢查檔案類型,電腦需要很大的處理能力,很可能被發現,應該不會這麼做。所以這兩個方式,能擋下大多數
借題問一下 我電腦擺在家 人不在 發現有災情時遠端回去看還沒出現奇怪畫面也沒事 然後已經先關機明天回去處理可否先拔網路線f8安全模式 用隨身硬碟備份重要資料 會有讀不到的問題嗎 電腦很久沒更新只有賽門鐵客防毒開著 不確定病毒有沒有跑進來所以不敢貿然開機怕一開就掛 QQ
直接用ubuntu live CD進去吧 很簡單的
ISO下載回來 燒到光碟開機 就能了 現在也能直接對NTFS的進行讀寫了 不用再額外搞一堆
作者:
trywish (一一二)
2017-05-14 02:24:00我只是整理這邊資訊來處理病毒,要發信是可以,不過多點人討論會更有辦法解決。
好的,辛苦你了,剛剛從好多文章看到你的身影!!樓上的gwofeng也回來回覆我,也謝謝你們了^^
作者:
gwofeng (宮山洋行)
2017-05-14 02:38:00WIN10是可以在安全模式下使用隨身碟
作者:
trywish (一一二)
2017-05-14 02:39:00隨身碟其實大多都可以,行動硬碟用到usb3.0,會因為某些
作者:
gwofeng (宮山洋行)
2017-05-14 02:39:00WIN7應該也可以 滑鼠跟鍵盤也是USB驅動的不是嗎
樓上專業大大們 那應該是可以安全模是備份資料吧QQ我有幾十G今年年初到現在的照片還沒備份,.,,
作者:
trywish (一一二)
2017-05-14 02:42:00可以啦,如果真的抓不到,插其他usb孔看看。電腦用久有時驅動自己都會怪怪的。
作者:
gwofeng (宮山洋行)
2017-05-14 02:44:00usb3.0的裝置 插在USB2.0連接埠是效能下降而已
作者:
trywish (一一二)
2017-05-14 02:45:00是有看過因為裝了某些驅動整合,造成安全模式驅動出狀況反正都是在說特例情況。還是不要嚇人好了。該睡了,結論其實在最前面,先F8>改唯讀+壓縮改副檔名(也
作者:
gwofeng (宮山洋行)
2017-05-14 02:48:00如果是WIN7有加裝USB3.0驅動的情況 的確不能確定安全模式
作者:
trywish (一一二)
2017-05-14 02:48:00記得改唯獨),理論上有機會閃過或許還在運作的病毒。
作者:
gwofeng (宮山洋行)
2017-05-14 02:49:00會不會載入USB3.0這個WIN7系統本來沒有的驅動但目前新主機板好像還是USB2.0跟USB3.0都有配置
作者:
HMKRL (HMKRL)
2017-05-14 10:08:00燒一支ubuntu live usb進去搬最安全