iT邦幫忙

9

檔案綁架『mdodneo.exe』

2015/5/15 使用者文件、檔案被加密綁架
被加密附加附檔名exx

中毒狀況:Windows 7 X64+WSUS AutoUpdate,使用者有單機Administrators

  1. 在所有加密資料夾內建立文字檔HELP_RESTORE_FILES_kfvta.TXT
    ,內容類似說明
  2. 啟動時開啟前述文字檔1-2個,位置:
    C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup
  3. 使用者可寫入的資料夾(包含網路)全部被加密附加附檔名exx,檔案加密後增加236bits
  4. 電腦啟動後出現一個英文通知視窗,內容類似說明
    前述東西被我清光了,沒留下來,大意是說被高強度加密
    處理:
  5. 出現以上狀況之電腦立即拔網路線
  6. 從檔案變更時間往前追,追蹤所有用戶端
  7. 中毒之電腦登錄檔內容:刪除
    HKLM/Software/Wow6432Node/Microsoft/Windows/CurrentVersion/Run
    Msconfig:%user%AppData/Local/mdodneo.exe
  8. 登錄檔不只一個Run,我這案例只有上面這一個
  9. 刪除EXX、HELP_RESTORE_FILES_kfvta.TXT檔案,如果EXX很重要就先留著,或許有人能解
  10. WindowsDefender 判定HELP_RESTORE_FILES_kfvta.TXT為病毒
  11. 使用Dr.Web、Kaspersky、MicrosoftSafetyScanner離線掃毒軟體,什麼都掃不到(可能被我提早清光了)
  12. CryptoLocker中毒檢查:不是
    https://decryptcryptolocker.com/
  13. 安全起見,砍了userProfile

應該沒必要重灌作業系統吧

有興趣的請下載來解看看:4種檔案原始檔+加密檔
如果能解,麻煩告訴我,謝謝。

附加:用Fastcopy將exx檔案複製走-->檢查後刪除原始資料夾內的EXX-->使用者回復使用


0
海綿寶寶
iT邦超人 1 級 ‧ 2015-05-19 17:12:32

好可怕

這麼恐怖的軟體
還是別分享給我了
謝謝

那是加密檔而已啦

你沒戳到梗哈哈

0
門神JanusLin
iT邦超人 1 級 ‧ 2015-05-20 10:03:15

不繳錢
放棄檔案最大
XD

0
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2015-05-20 18:22:59

「勒索軟體」增多 詐財數百萬美元

如何防範勒索軟體綁架你的電腦、加密你的檔案、跟你要錢?

預防檔案加密勒索病毒 TorrentLocker 及 Crypt0L0cker

某個遊戲論壇裡面也有此案例,但是一堆人只會叫人重灌
遇到問題就重灌,那下一次呢??
繼續重灌?
知其然而不知其所以然,這我做不到。這個論壇的經驗我就不貼了。

我要留言

立即登入留言