Re: [閒聊] ...快被勒索病毒搞瘋了

看板MIS (IT資訊人員)作者 (...)時間8年前 (2016/06/06 06:28), 8年前編輯推噓0(003)
留言3則, 1人參與, 最新討論串4/7 (看更多)
※ 引述《rock5101437 (Ketrich)》之銘言: : 從今年ㄧ月計算至今,我已經處理了7次的勒索病毒案件,各位大大有沒有今年還沒處理 : 過的呀 : 這種勒索病毒有潛伏期,有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的 : 可以分享ㄧ下治毒之道嗎QQ 這幾天我遇到經手的第四個案例。 有想說直接放棄,不過基於助人的精神,我還是又查了一下。查到的資料大部 份說無法解。但是看到幾篇英文文章說可以解。可惜我試的結果仍然無效。 或許你們可以試試。 RZA4096 Files Virus Ransomware Removal http://goo.gl/me5QJ0 RZA4096 File Encryption Ransomware Removal http://goo.gl/UAabBI Files Are Encrypted by RZA4096 – How to Remove RZA4096? http://goo.gl/V2U35Q Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware http://goo.gl/msFLK5 簡單講一下。那些文章大概是說,勒索病毒會先複製一份,然後對複製的檔案 進行加密,接著再把原本的檔案刪掉。 我猜,大概就像我們壓縮檔案一樣,壓縮的過程原始檔案當然要存在,然後壓 完後會得到壓縮檔,我們再去把原始檔案刪掉。 所以,安裝資料救援軟體,把被刪除的原始檔案回來。例如 1.Stellar Data Recovery, 2.Data Recovery Pro => 我試的結果,沒找到可以救的檔案。 卡巴斯基有出一套解密軟體 Kaspersky RannohDecryptor.exe 。但是必須把 加密跟未加密的檔案放在一起比對。通常勒索病毒會把 Windows 內建的圖片 也加密。所以去別台電腦,找出同一個 Windows 內建圖片,把已加密跟未加 密的檔案,丟給那套軟體去比對,就可以得到一組解密的金鑰。 而且,這套軟體可以解密的檔案大小,會小於用來比對的檔案。 例如把300k的圖片解密成功了,拿到解密金鑰了。 但是這組解密金鑰就只能解開小於300k的檔案。 => 我手邊的案例,檔案幾乎都被加密了,但是 Windows 內建圖片好好的。 使用者有些檔案在NAS上,沒被感染。拿了幾個來比對也是無法解。 機器已經重灌還給使用者了,訊息大概是這樣 Can't init descryption 文章還說可以安裝SpyHunter => 我裝了之後掃描,沒有發現任何威脅。 我是把中毒的硬碟拔到另一台測試機,然後在測試機裝 SpyHunter , 去掃描那個硬碟。 感覺這是一個持續有在進化的病毒… -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.161.20.95 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1465165686.A.B4F.html

06/06 15:54, , 1F
之前網路上看到的那個放餌給他吃掉就自動關機的方法各位有沒
06/06 15:54, 1F

06/06 15:55, , 2F
有用過呢? 那應該可減少災害擴大 但是電腦中他會先加密哪個路
06/06 15:55, 2F

06/06 15:55, , 3F
逕或哪種檔案類型有沒有人有研究呢
06/06 15:55, 3F
※ 編輯: anawak (1.161.20.95), 06/06/2016 22:50:59
文章代碼(AID): #1NLATsjF (MIS)
文章代碼(AID): #1NLATsjF (MIS)