Re: [閒聊] ...快被勒索病毒搞瘋了

看板MIS (IT資訊人員)作者anawak (...)時間8年前 (2016/06/06 06:28)推噓0(0推 0噓 3→)

留言3則, 1人參與討論串4/7 (看更多)

※ 引述《rock5101437 (Ketrich)》之銘言： : 從今年ㄧ月計算至今，我已經處理了7次的勒索病毒案件，各位大大有沒有今年還沒處理 : 過的呀 : 這種勒索病毒有潛伏期，有沒有什麼方式能知道廠內還有哪些電腦是已中鏢但尚未爆發的 : 可以分享ㄧ下治毒之道嗎QQ 這幾天我遇到經手的第四個案例。有想說直接放棄，不過基於助人的精神，我還是又查了一下。查到的資料大部份說無法解。但是看到幾篇英文文章說可以解。可惜我試的結果仍然無效。或許你們可以試試。 RZA4096 Files Virus Ransomware Removal http://goo.gl/me5QJ0 RZA4096 File Encryption Ransomware Removal http://goo.gl/UAabBI Files Are Encrypted by RZA4096 – How to Remove RZA4096? http://goo.gl/V2U35Q Decrypted: Kaspersky releases free decryptor for CryptXXX Ransomware http://goo.gl/msFLK5 簡單講一下。那些文章大概是說，勒索病毒會先複製一份，然後對複製的檔案進行加密，接著再把原本的檔案刪掉。我猜，大概就像我們壓縮檔案一樣，壓縮的過程原始檔案當然要存在，然後壓完後會得到壓縮檔，我們再去把原始檔案刪掉。所以，安裝資料救援軟體，把被刪除的原始檔案回來。例如 1.Stellar Data Recovery, 2.Data Recovery Pro => 我試的結果，沒找到可以救的檔案。卡巴斯基有出一套解密軟體 Kaspersky RannohDecryptor.exe 。但是必須把加密跟未加密的檔案放在一起比對。通常勒索病毒會把 Windows 內建的圖片也加密。所以去別台電腦，找出同一個 Windows 內建圖片，把已加密跟未加密的檔案，丟給那套軟體去比對，就可以得到一組解密的金鑰。而且，這套軟體可以解密的檔案大小，會小於用來比對的檔案。例如把300k的圖片解密成功了，拿到解密金鑰了。但是這組解密金鑰就只能解開小於300k的檔案。 => 我手邊的案例，檔案幾乎都被加密了，但是 Windows 內建圖片好好的。使用者有些檔案在NAS上，沒被感染。拿了幾個來比對也是無法解。機器已經重灌還給使用者了，訊息大概是這樣 Can't init descryption 文章還說可以安裝SpyHunter => 我裝了之後掃描，沒有發現任何威脅。我是把中毒的硬碟拔到另一台測試機，然後在測試機裝 SpyHunter ，去掃描那個硬碟。感覺這是一個持續有在進化的病毒… -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.161.20.95 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1465165686.A.B4F.html