就在一個平靜的上午 ,一位使用者突然跟我說電腦變好慢 ,他說他先重開機試試看 ,我也沒去多注意(使用者的說的慢我已經習慣了) ,結果他重開完 ,就說桌面及檔案怎怪怪DER ,一查看 ,心理想說在有生之年竟然讓我碰到 (真是悲劇).
幸好即時發現並無擴散出去1.立即拔除網路線2.立即關機3.硬碟拔除 然後就開始後續處理~
但在處理過程發現 所有檔案都被加密 副檔就變成.crytz 上網查了一下這是突變後的經過RSZ-4096加密 ,心理想"沒救了" ,準備還原重灌了!!(幸好此人非重要生產單位 ,資料還行)
但在此過程發現資源回收桶裡的檔案都沒被加密!?
是所有勒索病毒都是無法加密資源回收桶裡的檔案嗎!?
大家有過類似的經驗嗎!? 歡迎討論
我在想是否可以把備份資料夾改成資源回收筒模式在對抗勒索病毒呢? (小弟異想天開 呵呵)
已邀請的邦友 {{ invite_list.length }}/5
先前看過一份資料,勒索病毒,目前對XP沒有作用,可以改回XP系統比較快。
可能是覺得XP 微軟不在提供Support,所以病毒研發沒想走回頭路
目前遇過幾台,都是公司前代工程師安裝的系統,安全性很不好,但是因為user用習慣了不能直接重灌。
但是如果user重點資料都放到file server,而且server有適當的備份,基本上是沒差的。
但是還是很多user認為自己的業務資料防桌面最好,所以只能說.........
頃是是看這個網站上的解決方法 也許有用
https://briian.com/36414/trend-micro-ransomware-file-decryptor.html
裡面的方法不一定可以使用 只是抱著一線希望來解除加密而已
不知道能不能用系統還原這招 不過有很多病毒都沒用 或者把資料刪除再用搶救軟體搶救回來
我公司同仁就有中獎,發現被加密是C槽以外的檔案,也許是想要勒贖$$
所以沒去動C槽
不過大部分檔案都是存在NAS上,所以還好
我們公司也有同仁中獎, 不過怪的是該病毒先去把FILES SERVER上的分享資料夾檔案加密,
還好有其他同仁發現, 跑來問我說檔案改了怎麼開 Orz... , 後來利用上一個版本功能把加密的檔案都回復了, 但本機上的檔案卻沒有被加密的痕跡,
如果是未變種的可以用趨勢有出一隻解除還原的程式
試過ok
公司的user中過幾台都是點到廣告中的
, 好在絕大部份重要的file都放server
, 自家的也中過,不過當下使用時發現電腦突然很慢
, 就發現桌面檔案被鎖了,馬上檢查其他槽的檔
, 看見還有檔案未鎖,順手開了工作管理員
, 因為電腦很慢時都會開來看哪些程式佔資源
, 看到有個SVHOST佔用90%就踢了
再觀察就沒有檔案被鎖了,趕緊備份重灌
如果當下有發現可以試試此方法
iThome鐵人賽
看影片追技術