Re: [閒聊] ...快被勒索病毒搞瘋了

作者: anawak (...)   2016-06-06 06:28:04
※ 引述《rock5101437 (Ketrich)》之銘言:
: 從今年ㄧ月計算至今,我已經處理了7次的勒索病毒案件,各位大大有沒有今年還沒處理
: 過的呀
: 這種勒索病毒有潛伏期,有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的
: 可以分享ㄧ下治毒之道嗎QQ
這幾天我遇到經手的第四個案例。
有想說直接放棄,不過基於助人的精神,我還是又查了一下。查到的資料大部
份說無法解。但是看到幾篇英文文章說可以解。可惜我試的結果仍然無效。
或許你們可以試試。
RZA4096 Files Virus Ransomware Removal
http://goo.gl/me5QJ0
RZA4096 File Encryption Ransomware Removal
http://goo.gl/UAabBI
Files Are Encrypted by RZA4096 – How to Remove RZA4096?
http://goo.gl/V2U35Q
Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware
http://goo.gl/msFLK5
簡單講一下。那些文章大概是說,勒索病毒會先複製一份,然後對複製的檔案
進行加密,接著再把原本的檔案刪掉。
我猜,大概就像我們壓縮檔案一樣,壓縮的過程原始檔案當然要存在,然後壓
完後會得到壓縮檔,我們再去把原始檔案刪掉。
所以,安裝資料救援軟體,把被刪除的原始檔案回來。例如
1.Stellar Data Recovery,
2.Data Recovery Pro
=> 我試的結果,沒找到可以救的檔案。
卡巴斯基有出一套解密軟體 Kaspersky RannohDecryptor.exe 。但是必須把
加密跟未加密的檔案放在一起比對。通常勒索病毒會把 Windows 內建的圖片
也加密。所以去別台電腦,找出同一個 Windows 內建圖片,把已加密跟未加
密的檔案,丟給那套軟體去比對,就可以得到一組解密的金鑰。
而且,這套軟體可以解密的檔案大小,會小於用來比對的檔案。
例如把300k的圖片解密成功了,拿到解密金鑰了。
但是這組解密金鑰就只能解開小於300k的檔案。
=> 我手邊的案例,檔案幾乎都被加密了,但是 Windows 內建圖片好好的。
使用者有些檔案在NAS上,沒被感染。拿了幾個來比對也是無法解。
機器已經重灌還給使用者了,訊息大概是這樣
Can't init descryption
文章還說可以安裝SpyHunter => 我裝了之後掃描,沒有發現任何威脅。
我是把中毒的硬碟拔到另一台測試機,然後在測試機裝 SpyHunter ,
去掃描那個硬碟。
感覺這是一個持續有在進化的病毒…
作者: JCC (JCC )   2016-06-06 15:54:00
之前網路上看到的那個放餌給他吃掉就自動關機的方法各位有沒有用過呢? 那應該可減少災害擴大 但是電腦中他會先加密哪個路逕或哪種檔案類型有沒有人有研究呢

Links booklink

Contact Us: admin [ a t ] ucptt.com