副檔名硬被加上「.cofmoth」

病毒副檔名檔案格式

jin741228 2015-02-05 10:32:12 ‧ 15196 瀏覽

各位高手，可否幫幫小妹，剛google都沒找到相關訊息(難不成是新病毒？)

我們user有一些檔案，明明是doc或pdf等檔案，但後面會硬被加上.cofmoth。
比如：200608未刷卡簽呈.PDF.cofmoth

如下圖所示：

看更多先前的討論...收起先前的討論...

newkevin iT邦高手 1 級 ‧ 2015-02-05 10:40:32 檢舉

有詢問他最近有裝甚麼軟體或閱讀器嗎

jin741228 iT邦新手 5 級 ‧ 2015-02-05 10:48:47 檢舉

您好，他有開一個來路不明的信件的附件，但我要去看的時候，他的信早已刪光光了，所以我連兇手都沒有看到，還原系統也沒用，檔案始終如一！OMG~~

u8526425 iT邦大師 1 級 ‧ 2015-02-05 11:36:42 檢舉

手動將副檔名還原
檔案還能開嗎 ?

crusade iT邦研究生 4 級 ‧ 2015-02-05 11:39:31 檢舉

直接用 "記事本" 去開它 , 看看內容是什麼

darkslayer iT邦好手 1 級 ‧ 2015-02-05 11:58:08 檢舉

個人覺得先把網路斷開, 免得其他電腦或檔案受害..

jin741228 iT邦新手 5 級 ‧ 2015-02-05 12:55:24 檢舉

您好，我把副檔名改回來後，確實會有正確的icon，檔案也會知道它是用pdf或word的軟體開啟，但是開啟後，會說這個檔案己損毀，我試了doc、pdf、xls都一樣 / n \

jin741228 iT邦新手 5 級 ‧ 2015-02-05 12:56:17 檢舉

好的，我也是這麼想，目前已經把電腦的網路斷開囉！謝謝！

jin741228 iT邦新手 5 級 ‧ 2015-02-05 12:57:02 檢舉

您好，我覺得可以試一下，等等有東西會po上來，謝謝。

newkevin iT邦高手 1 級 ‧ 2015-02-05 13:00:53 檢舉

首先
1如 darkslayer 網路斷開
2 電腦檔案先備份一份
3 看他收信軟體是否勾伺服器有備份一份
4 測試檔案
4.1是否能開啟 (或他關聯到哪知程式能開啟)
4.2 新增檔案是否還是這樣
5 如有付費防毒打電話詢問或寄一份無關機密個資的給她處理
6 啟動區看是否有多出程式

newkevin iT邦高手 1 級 ‧ 2015-02-05 13:02:45 檢舉

感覺是綁架軟體要密碼才能解鎖

newkevin iT邦高手 1 級 ‧ 2015-02-05 13:15:39 檢舉

PS 記得下次上傳圖片人名或機密等敏感問題記得塗黑

newkevin iT邦高手 1 級 ‧ 2015-02-05 13:19:31 檢舉

http://www.ithome.com.tw/news/90581 該不會是這個

newkevin iT邦高手 1 級 ‧ 2015-02-05 13:24:12 檢舉

借這個機會
順便幫全公司的檔案全部備份一次
預防類似其他問題
方案計畫好送出去
主管或老闆這時都會答應

jin741228 iT邦新手 5 級 ‧ 2015-02-05 13:40:42 檢舉

您好，我試過了，打開後全部都是亂碼~/ n \

CalvinKuo iT邦大師 7 級 ‧ 2015-02-05 13:43:58 檢舉

我想版大已經還原USER系統了，病毒大概也沒了(可能有勒贖訊息)。
看來只剩下被加密的檔案...

crusade iT邦研究生 4 級 ‧ 2015-02-05 13:46:49 檢舉

還是希望貼出來 , 也許有人會看的懂

crusade iT邦研究生 4 級 ‧ 2015-02-05 13:49:28 檢舉

如果有 UltraEdit 那是更好的

crusade iT邦研究生 4 級 ‧ 2015-02-05 13:50:07 檢舉

jin741228 iT邦新手 5 級 ‧ 2015-02-05 13:51:40 檢舉

您好，謝謝您的提醒和協助，不過我按這些檔案的時候，並沒有特別跑出什麼視窗。

jin741228 iT邦新手 5 級 ‧ 2015-02-05 14:26:52 檢舉

您好，我還沒還原XD正在備份這個user的檔案。
確定到時候應該會剩解不開的檔案Orz...

jin741228 iT邦新手 5 級 ‧ 2015-02-05 14:28:55 檢舉

我來試試您說的~(握拳)

jin741228 iT邦新手 5 級 ‧ 2015-02-05 14:45:11 檢舉

我剛有下載UltraEdit試用版，但無法另存txt檔，所以只好截圖，我試了其中一個xls檔，共有3張依序如下：

jin741228 iT邦新手 5 級 ‧ 2015-02-05 14:49:42 檢舉

需要用ctrl+滑鼠滾輪放大才看的清楚...

jin741228 iT邦新手 5 級 ‧ 2015-02-05 15:00:22 檢舉

1如 darkslayer 網路斷開-->ok
2 電腦檔案先備份一份-->ok
3 看他收信軟體是否勾伺服器有備份一份-->ok
4 測試檔案
4.1是否能開啟 (或他關聯到哪知程式能開啟)-->無法開啟
4.2 新增檔案是否還是這樣-->新增、從usb得到或經由下載得來的沒有問題可以打開。
5 如有付費防毒打電話詢問或寄一份無關機密個資的給她處理-->我們是用officeScan，可以請另一位IT去處理。
6 啟動區看是否有多出程式-->沒有多的程式，控制台裡的程式和功能也沒有多的程式被安裝。

peterkoo iT邦新手 1 級 ‧ 2015-02-05 15:23:58 檢舉

我想他一定點到綁架的網址了，之前維護的飯店總經理就給我搞這個，好險我有定期備份.....

jin741228 iT邦新手 5 級 ‧ 2015-02-05 16:25:41 檢舉

我們並沒有定期備份，但有提供網路空間，不過完全是看自己要不要把檔案備上去，而非自動，現在真的是三條線了Orz

crusade iT邦研究生 4 級 ‧ 2015-02-05 17:15:01 檢舉

看副檔名是 xls , 但是格式完全不對 , 應該是被惡意重新編碼過 , 無解

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

newkevin

iT邦高手 1 級 ‧ 2015-02-05 16:13:56

最佳解答

伺服器有備份一份就給他看標題看哪一封他有印象
然後用一顆新硬碟把那個封在在收一次放幾個檔案
斷網離線在點開那個檔案看是否是那個影響
如果確定那個影響就把那個夾檔給 OFFICESCAN 處理
如果真的是檔案綁架因為你有還原過比較麻煩
下次要做任何變更最好在做一次系統+檔案整個備份在去做其他的事情萬一要原始狀態才能解決的就沒救了