iT邦幫忙

0

中勒索病毒後重灌會再觸發嗎?路由器與usb網卡會留毒嗎?

  • 分享至 

  • xImage

各位版上神人大大好

小弟不小心中招(原因不冗述)
反正點開exe檔我發現中招 一分鐘左右關電源拔網路
後無網路開機看 部分檔案還是被脅持

看到有被脅持的資料夾都會有可能被改的檔案
跟一個read me的連結網址檔

我的電腦是ssd加hdd 後來我拔掉hdd
再無聯網的情況下 沒看到有再繼續竄改檔案

系統SSD主要是遊戲跟一些硬碟版程式(如溫測等)
基本上遊戲跟exe我都放棄
但是我有把沒被禍害遊戲save檔抓到隨身碟

另外拔掉一顆存 照片 音樂 影片的HDD碟
目前看起來只有EXE類((免安裝版溫控)以及壓縮檔被改檔名
少部分圖片跟影片也被改


我想請問
1.因為我無線網卡是usb
是否路由器與usb網卡會有問題
還是可以重灌後繼續使用

目前用筆電上網跟手機看似並無影響路由器
以防萬一詢問一下
而usb網卡不敢測試

2.我用另外一台電腦把hdd能救的救出來
那些檔案會有問題嗎?

3.承上 如果我把救出來的檔案擺回重灌電腦會在觸發
脅持事件嗎?(音樂 影片照片 iso檔 save檔等)

4.救援檔案的電腦 會受影響需要重灌嗎?

5.我看被更改的資料除了格式變更以外在修改日期也會變成中獎那天
我是否可以根據修改日期去排除救資料(然後再用掃毒軟體掃一次)

6.另外我看到有些比較舊的資料變成1970.1.1不知道是不是也是受到影響?

雖有爬文 知道最佳解當然是全檔案捨棄格式化
看到有說 大意是我有執行所以有授權
然後勒索軟體就用ram快速改寫再偽裝資料
不算病毒

所以我重灌因為系統沒有授權
在沒有再執行相關的exe或email連結下
那些被改寫的或沒動到的檔案是安全的

但在我第一次授權下
他可能在系統改寫了一些定期啟動(不用經我同意也不用連網)
或者後門軟體植入
所以需要格式化重灌

目前救檔案的電腦(有連網)看起來並沒有受到影響

以及中招的電腦(無連網)
不知道是我沒連網的關係
還是我緊急關電源的關係
沒有檔案被改寫的狀況

不知道我恢復連網是不是又會因為後門再次啟動

因為不太懂勒索軟體的原理
望各位大大賜教

感恩

為什麼現在再推零信任,就是因為勒索病毒防不勝防,有時候不是你中獎,而是有權限讀寫你電腦檔案的人中獎,他發作的時候加密了你的電腦檔案,所以資安先進認為如果在存取資源之前都必須驗證,勒索病毒肯定無法在這個機制下加密任何檔案,但一般人是不太可能有能力使用這種防護的,因此最佳的辦法還是回到了備份三二一,一旦中勒索病毒就是系統重灌,然後還原,這樣最經濟跟方便,至於什麼是備份三二一,自己找一下就知道了
1. 理論上,勒索軟體可能可以潛伏在任何設備上,但你中的依照描述不是這種的,所以你提到的硬體還可以使用
2. 通常勒索病毒重新開機有可能會改了名字繼續潛伏,也有可能直接消失,這要看你中的這隻的機制,通常建議就是拿到別台,或是使用 PE 開機後將能備份出來的檔案都備份出來,注意勒索病毒不一定是 EXE 檔案,有可能是別種類型檔案,例如 CMD BAT PS1 這種指令檔,還有其他種類型的,所以建議就是先確認找那些還沒被加密的重要檔案,如OFFICE 文件 圖檔 這些,其他建議放棄
3. 同上我提到的,如果你找回某些可能點兩下就會跑的指令檔,有可能會在中一次
4. 有可能發生
5. 可以用修改日期找檔案,但是不一定準確,實際上有軟體可以修改這些資訊,如果勒索病毒使用這些機制,那個修改日期不一定準確,建議還是用檔案類型找,找你需要的檔案就好,或是加密之後的奇怪的檔案類型,那部分應當是統一的命名方式
6. 這部分被修改,有可能是其他原因,不一定是勒索病毒造成的
以上
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
suncuxiapple
iT邦新手 1 級 ‧ 2023-04-15 19:12:55

不會買一顆新硬碟唷 自己灌新系統就好

不要怕硬體設備很便宜

平時自己要保護好資料 我都把重要資料放到離線版電腦裡都沒上過網

2
japhenchen
iT邦超人 1 級 ‧ 2023-04-17 07:18:28

通常留毒的不會是NAS、SWITCH、ROUTER,而是同一個辦公室裡的其他電腦,筆電,還有你堅持不放手的網路上的芳鄰,不用帳密就能連進其他人的電腦,SMB V1V2.........如果你的心裡還一直存在著為什麼以前可以,現在不行的想法,覺得新系統很麻煩不習慣.....那保証你會常常遇到勒索病毒的事,絕非僅此一次而已

看更多先前的回應...收起先前的回應...
望空 iT邦新手 1 級 ‧ 2023-04-17 09:09:54 檢舉

通常是使用習慣不變,原有的攻擊方式就時常會有用...對吧?

supermaxfight iT邦研究生 4 級 ‧ 2023-04-17 09:41:51 檢舉

對,我每天都在被這些騷擾
1.為什麼以前可以,現在不行的
2.新系統很麻煩不習慣
.....
3.別間公司都有提供,為什麼我們沒有

supermax大大…幫哭哭~

哈 習慣就是駭客要先修的犯罪心理學吧,不是犯罪者的心理,是易被犯的心理。感恩感恩 南無阿彌陀佛

1
sd3388
iT邦好手 1 級 ‧ 2023-04-17 12:57:47

Switch,Router,USB網卡會不會被駭
確定會,但不確定你的設備有沒有(你沒寫型號)
最好自己上網搜一下設備資安新聞,也更新一下韌體

但是一般綁架病毒比較常出現在你說的狀況
因為點開個了某個檔案而中招
所以通常會留在系統及某些可執行檔中

建議買硬碟重作系統及重灌應用程式
搶救後的資料硬碟能不用就不用
至少也改成外接硬碟
要用的時候先斷網
掃毒程式才能有機會攔截到
總之不太安全就是了

player iT邦大師 1 級 ‧ 2023-04-17 16:40:06 檢舉

Switch,Router 如果怕出事
請把遠端管理關掉 (不允許經由TCP/UDP連進管理介面)
設備只允許經由直接連線的終端機操作
這樣可以減少韌體被竄改的機率

2

一般來說,無寫入式的設備。
被改掉的機會可以說是等於0。

所以USB網卡就正常而言。並不會留下病毒。畢竟不會存在寫入機制。
但AP或是路由設備就比較不一定就是了。
畢竟它們是有寫入機制的。雖然不容易被寫。但還是有其可能性。
只是可能性是非常非常的低。

至於勒索的機制。有非常多的方式。無法一一詳述

sd3388 iT邦好手 1 級 ‧ 2023-04-17 18:40:53 檢舉

USB設備是有可能中毒的
對網路資安知識最好能更嚴謹一些
2014關於USB漏洞攻擊風險

我要發表回答

立即登入回答