iT邦幫忙

1

請教各位大大,電腦中勒索病毒,所有檔案的副檔名都被更改為.Carver
https://ithelp.ithome.com.tw/upload/images/20230215/201150494Y31hEH9gt.jpghttps://ithelp.ithome.com.tw/upload/images/20230215/20115049QBLMO7Vqpu.jpg
發生情況如下:
早上開機登入密碼時忽然顯示密碼錯誤(小弟無更新密碼過)
所以測試幾次後果斷使用破解工具重新設定使用者登入密碼。
登入畫面時發現桌面所有的檔案都被加密了,而且也發現防毒軟體居然被卸載。
因為有備份還原紀錄,小弟也存著僥倖的心態試著還原看看,結果還原後還是一樣是加密檔。
後續查詢過網站都沒有此.Carver副檔名的相關資訊,
目前有詢問過兩家解密廠商,回覆無法處理。
也查過NO MORE RANSOM(https://www.nomoreransom.org/zht_Hant/index.html)解密網站,也沒有相關解密工具。
測試過趨勢寄來的解密工具也無法解決。
甚至寄信過去詢問勒索病毒附件提供的MAIL都沒有得到回信。
請問各位大大能提供相關資訊嗎~~
在線急.......

看更多先前的討論...收起先前的討論...
copemoe iT邦好手 2 級 ‧ 2023-02-15 13:44:33 檢舉
原本的防毒是 趨勢嗎?
hsiang11 iT邦好手 1 級 ‧ 2023-02-15 14:17:45 檢舉
如果駭客的mail都不回信就謹慎別付款了,因為連這條路可能都無解
先把這顆硬碟拔掉封存,換顆新硬碟重新開始
以後就看緣分了
李大瑋 iT邦好手 1 級 ‧ 2023-02-15 14:20:11 檢舉
拔掉硬碟封存+1
阿摔 iT邦新手 3 級 ‧ 2023-02-15 14:54:59 檢舉
硬碟拔掉+1 另外建議密碼換個兩輪 然後去確認自己有登入的其他系統有沒有問題
rb1102 iT邦研究生 2 級 ‧ 2023-02-15 15:10:34 檢舉
趕快先釐清影響範圍吧,基本上要救回來不太可能
如果內部資料很重要,重要到5~10年後 還有價值 那就拔掉硬碟封存+1
如果內部資料1~2年後就沒價值,放棄吧
after1229 iT邦新手 5 級 ‧ 2023-02-16 13:18:59 檢舉
沒錯,是趨勢的,年初才剛買授權......
jakeuj iT邦新手 5 級 ‧ 2023-02-16 13:52:20 檢舉
當作不能復原吧
備份很重要啊,我們公司中過,全SSD環境,30分鐘而已,全公司的檔案被加密完畢,還好有備份,30分鐘資料回復到上一次備份的狀態,避免一次中年失業危機,希望樓主平安度過此次危機
請教窮斯大使用哪種備份方式可以做到30分鐘內回復完成?
阿摔 iT邦新手 3 級 ‧ 2023-02-20 11:02:12 檢舉
我之前的工作是用commvault做備份 檔案能遠端還原 能指定路徑定期 差異備份跟完整備份
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
Vader
iT邦研究生 4 級 ‧ 2023-02-15 15:10:49

如果你的電腦被中.carver勒索病毒感染,以下是一些建議:

不付贖款:請勿向攻擊者支付贖款。付款無法保證您將收回您的文件,且可能鼓勵攻擊者繼續進行這種活動。

斷開網絡連接:為了防止病毒感染蔓延,斷開您的電腦與網絡之間的連接。

刪除病毒:使用反病毒軟件掃描您的計算機,並刪除檢測到的任何病毒文件。您可以使用知名的反病毒軟件,如 McAfee、Norton、Avast、Bitdefender 或 Kaspersky。

恢復文件:如果您備份了文件,那麼您可以通過還原文件來恢復已加密的文件。如果您沒有備份,那麼可能無法恢復已加密的文件。

尋求專業幫助:如果您無法解決問題,或者您需要專業幫助,請聯繫計算機安全專家或尋求技術支持。他們可以幫助您採取進一步的步驟,以防止病毒感染擴散並恢復您的文件。

after1229 iT邦新手 5 級 ‧ 2023-02-16 13:20:03 檢舉

就是上網找不到幾家專業解密的公司資訊...

jakeuj iT邦新手 5 級 ‧ 2023-02-16 13:45:35 檢舉

因為解不了

spplkksyy iT邦新手 1 級 ‧ 2023-02-18 23:40:38 檢舉

AI式回覆

4
Ray
iT邦大神 1 級 ‧ 2023-02-15 15:16:14

並不是所有勒索軟體都會有解密工具讓你解的, 尤其現在變形的勒索軟體那麼容易製作, 即便同系列的勒索, 我只要在變形裡面隨便改個金鑰, 她的解密方法就不一樣了.

很多勒索軟體的散播方式是靠機器人自動偵測和傳播, 所以即便當初放出來的人已經掛了, 或者被消失了, 只要她沒去按下中斷機器人的動作, 勒索機器人是永遠不會停止傳播的. 但是因為原始的放毒者已經失聯, 你聯絡不上她, 就等於沒有辦法解密....

中了就當作重新投胎, 不要想去救回資料了;
這次投胎之後, 記得養成定時備份的習慣...

看更多先前的回應...收起先前的回應...

備份硬碟一直買一直壞呢?雲端無網沒得用怎麼辦呢?

Ray iT邦大神 1 級 ‧ 2023-02-16 12:11:48 檢舉

備份有 3-2-1 原則喔:

至少 3 份拷貝
至少 2 種不同媒體
至少 1 份放在異地

只要遵循 3-2-1, 任何備份故障, 都還有時間可以挽救.

after1229 iT邦新手 5 級 ‧ 2023-02-16 13:21:29 檢舉

謝大神的指導,目前已經開始購買設備並倡導備份的動作了...

jakeuj iT邦新手 5 級 ‧ 2023-02-16 13:46:07 檢舉

實際上如果你買硬碟備份一直壞,你不備份你鳥上的硬碟也會一直壞,另外就是三層備份,磁帶備份,離線備份

1
小處成就大事
iT邦研究生 1 級 ‧ 2023-02-15 16:36:40

雖然你有修改過圖片了,但是我有注意到你一開始上傳的圖片的電腦時間為2023/02/04。

想提醒你,這如果中毒的時間是10天前,這10天內,公司內其他人有沒有做好防護跟檢查。

after1229 iT邦新手 5 級 ‧ 2023-02-16 13:32:10 檢舉

感謝大大的細心~當下發現馬上就斷網,全部電腦都掃毒檢查了。

jakeuj iT邦新手 5 級 ‧ 2023-02-16 13:50:49 檢舉

另外帳號可能已經外洩,但密碼這東西不安全,無密碼或MFA

1
eric_hsu58
iT邦新手 3 級 ‧ 2023-02-15 16:45:33

檢查一下你的系統保護是否有開啟,如果有的話,可以下載 Shadow Explorer ,將部分檔案還原
https://ithelp.ithome.com.tw/upload/images/20230215/20133555bDs3bpUCyF.jpg

after1229 iT邦新手 5 級 ‧ 2023-02-16 13:33:07 檢舉

原本有個還原點,有試著還原看看,也是失敗收場

不是透過還原點還原,如果有開系統保護,透過 Shadow Explorer 可以看到被留存的原始檔案,可以把檔案逐一匯出

1
wup926
iT邦新手 3 級 ‧ 2023-02-16 07:34:16

零度解說這位油管有解毒方式,看是不是你的需求,連結如下,試試看吧
https://www.youtube.com/watch?v=8NRm7janSRA

after1229 iT邦新手 5 級 ‧ 2023-02-16 14:41:22 檢舉

感謝大大提供的資訊,已使用零度大大介紹的工具測試了,目前是無解中...

我要發表回答

立即登入回答