2015/5/15 使用者文件、檔案被加密綁架
被加密附加附檔名exx

中毒狀況：Windows 7 X64+WSUS AutoUpdate，使用者有單機Administrators

1. 在所有加密資料夾內建立文字檔HELP_RESTORE_FILES_kfvta.TXT
   ，內容類似說明
2. 啟動時開啟前述文字檔1-2個，位置：
   C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup
3. 使用者可寫入的資料夾(包含網路)全部被加密附加附檔名exx，檔案加密後增加236bits
4. 電腦啟動後出現一個英文通知視窗，內容類似說明
   前述東西被我清光了，沒留下來，大意是說被高強度加密
   處理：
5. 出現以上狀況之電腦立即拔網路線
6. 從檔案變更時間往前追，追蹤所有用戶端
7. 中毒之電腦登錄檔內容：刪除
   HKLM/Software/Wow6432Node/Microsoft/Windows/CurrentVersion/Run
   Msconfig:%user%AppData/Local/mdodneo.exe
8. 登錄檔不只一個Run，我這案例只有上面這一個
9. 刪除EXX、HELP_RESTORE_FILES_kfvta.TXT檔案，如果EXX很重要就先留著，或許有人能解
10. WindowsDefender 判定HELP_RESTORE_FILES_kfvta.TXT為病毒
11. 使用Dr.Web、Kaspersky、MicrosoftSafetyScanner離線掃毒軟體，什麼都掃不到(可能被我提早清光了)
12. CryptoLocker中毒檢查：不是
    https://decryptcryptolocker.com/
13. 安全起見，砍了userProfile

應該沒必要重灌作業系統吧

有興趣的請下載來解看看：4種檔案原始檔+加密檔
如果能解，麻煩告訴我，謝謝。

附加：用Fastcopy將exx檔案複製走-->檢查後刪除原始資料夾內的EXX-->使用者回復使用