iT邦幫忙

2

綁架病毒發問及討論

就在一個平靜的上午 ,一位使用者突然跟我說電腦變好慢 ,他說他先重開機試試看 ,我也沒去多注意(使用者的說的慢我已經習慣了) ,結果他重開完 ,就說桌面及檔案怎怪怪DER ,一查看 ,心理想說在有生之年竟然讓我碰到 (真是悲劇).
幸好即時發現並無擴散出去1.立即拔除網路線2.立即關機3.硬碟拔除 然後就開始後續處理~
但在處理過程發現 所有檔案都被加密 副檔就變成.crytz 上網查了一下這是突變後的經過RSZ-4096加密 ,心理想"沒救了" ,準備還原重灌了!!(幸好此人非重要生產單位 ,資料還行)

但在此過程發現資源回收桶裡的檔案都沒被加密!?
是所有勒索病毒都是無法加密資源回收桶裡的檔案嗎!?
大家有過類似的經驗嗎!? 歡迎討論

我在想是否可以把備份資料夾改成資源回收筒模式在對抗勒索病毒呢? (小弟異想天開 呵呵)

看更多先前的討論...收起先前的討論...
「資源回收桶裡的檔案都沒被加密」真的嗎?
都沒看過有人提到這點
如果您真把「備份資料夾改成資源回收筒模式」
那您應該是台灣首創
給您三個讚
bbb
lard0921 iT邦新手 4 級 ‧ 2016-06-08 10:33:24 檢舉
是真的都沒被加密

然後下面那段我真的異想天開拉
如果窮嘶發發發的說法成立的話
那麼只要把資料集中存放在 $_#%DATA 之類的資料夾
就不怕勒索病毒了
但是,病毒會進化的,目前發現是這樣,
資源回收桶的資料夾名稱 是 $RECYCLE.BIN
所以是真的有特殊符號的
所以樓主如果有保留 綁架病毒的程式檔案
可以自己測試看看會不會去感染 $ 開頭的資料夾
lard0921 iT邦新手 4 級 ‧ 2016-06-09 08:11:55 檢舉
哈 完全不想保留這萬毒的程式 但至少這是一個方法防範!
是否除了中英文和數字 其他都屬於特殊福號呢
某些特殊符號是不能當資料夾名稱的,這個要注意一下
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
窮嘶發發發
iT邦高手 1 級 ‧ 2016-06-08 10:23:19

綁架病毒無法感染 資料夾名稱有特殊符號的

資源回收桶基本上是一個有特殊符號的資料夾

這是我目前知道的

0
msit
iT邦高手 1 級 ‧ 2016-06-08 11:46:52

先前看過一份資料,勒索病毒,目前對XP沒有作用,可以改回XP系統比較快。
可能是覺得XP 微軟不在提供Support,所以病毒研發沒想走回頭路

目前遇過幾台,都是公司前代工程師安裝的系統,安全性很不好,但是因為user用習慣了不能直接重灌。
但是如果user重點資料都放到file server,而且server有適當的備份,基本上是沒差的。
但是還是很多user認為自己的業務資料防桌面最好,所以只能說.........

wancheng iT邦研究生 1 級 ‧ 2016-06-09 11:41:38 檢舉

似乎是耶,我有幾個客戶也都中了勒索病毒,電腦似乎都是WIN7系統,
但是其他有使用XP可是有資源分享出來的,卻也難逃魔爪,災情慘重。

連 MAC 安卓 都陣亡了,XP 也有不少案例出來,格主不看新聞的嗎

1
cheng9443911015
iT邦新手 5 級 ‧ 2016-06-10 14:15:32

頃是是看這個網站上的解決方法 也許有用
https://briian.com/36414/trend-micro-ransomware-file-decryptor.html

裡面的方法不一定可以使用 只是抱著一線希望來解除加密而已

如果你有一萬個檔案掛點,那就慢慢掃吧,如果是超大檔案,看新聞吧,沒聽過有人救回來的

0
cheng9443
iT邦新手 5 級 ‧ 2016-06-10 19:35:47

不知道能不能用系統還原這招 不過有很多病毒都沒用 或者把資料刪除再用搶救軟體搶救回來

這個 零壹有人測試過,可以去找找,答案是某些狀況有用,某些狀況沒用

0
阿漢
iT邦研究生 5 級 ‧ 2016-06-14 15:30:41

我公司同仁就有中獎,發現被加密是C槽以外的檔案,也許是想要勒贖$$
所以沒去動C槽

不過大部分檔案都是存在NAS上,所以還好

0
ks1217
iT邦研究生 1 級 ‧ 2016-06-14 16:33:16

我們公司也有同仁中獎, 不過怪的是該病毒先去把FILES SERVER上的分享資料夾檔案加密,
還好有其他同仁發現, 跑來問我說檔案改了怎麼開 Orz... , 後來利用上一個版本功能把加密的檔案都回復了, 但本機上的檔案卻沒有被加密的痕跡,

0
GJ
iT邦好手 1 級 ‧ 2016-06-15 18:10:06

如果是未變種的可以用趨勢有出一隻解除還原的程式
試過ok

公司的user中過幾台都是點到廣告中的
, 好在絕大部份重要的file都放server

, 自家的也中過,不過當下使用時發現電腦突然很慢

, 就發現桌面檔案被鎖了,馬上檢查其他槽的檔

, 看見還有檔案未鎖,順手開了工作管理員

, 因為電腦很慢時都會開來看哪些程式佔資源

, 看到有個SVHOST佔用90%就踢了

再觀察就沒有檔案被鎖了,趕緊備份重灌

如果當下有發現可以試試此方法

我要發表回答

立即登入回答