伊莉討論區

標題: 電腦中毒,被不知名攻擊 [打印本頁]
作者: a543543    時間: 2015-11-21 09:22 AM     標題: 電腦中毒,被不知名攻擊

本帖最後由 kuo_56 於 2015-11-21 04:13 PM 編輯

我也不知道怎麼中毒的
我網頁只放 卡提諾論壇與往常看的DM5(漫畫網頁)
與在尋找的漫畫99漫畫  不知道不是這個害的誤開)
我網頁開著玩遊戲,玩到一半一直有視窗再跳,我想說可能什麼再跑吧,沒幾分鐘又跳就感覺怪怪的,
電腦好像變慢了,連工作管理員都打不開
然後發現C槽一堆奇怪的東西
_how_recover_jje.HTML
_how_recover_jje.TXT
_how_recover_tvv.HTML
_how_recover_tvv.TXT
_UpdaterService_CFG.ini
C曹某幾個每一個資料夾都有,我現在怕她覆蓋掉之前的東西,掃毒掃不到
只能試看看慢慢砍,真的不行也只能重灌了


補充內容 (2015-11-21 11:48 AM):
他把我影片與圖片與TXT檔 副檔名都變成.ccc
就算改回MP4也不能看了,C曹影片以全滅
已感染到D曹,害我不敢開機,內建從灌的好像也掛
作者: kill1018    時間: 2015-11-21 10:31 AM

這東西應該不是毒,是某遊戲或某程式運行後殘留的東西,電腦變慢應該是RAM掛了,如果你還是覺得怪怪的不妨直接把電腦拿去維修,真的是毒就重灌吧。
作者: a543543    時間: 2015-11-21 11:45 AM

kill1018 發表於 2015-11-21 10:31 AM
這東西應該不是毒,是某遊戲或某程式運行後殘留的東西,電腦變慢應該是RAM掛了,如果你還是覺得怪怪的不妨 ...

絕對是病毒
因為他一直取代我的檔案
附檔名都變.ccc
我C曹檔案基呼全掛了
我的影片與圖片都被取代了
內建環原程式也掛了
我把因些沒被感染的丟到隨身硬碟
結果D槽也淪陷
作者: kill1018    時間: 2015-11-21 02:32 PM

重灌吧,你的電腦沒救了,提早放手提早得救。
作者: 武戲    時間: 2015-11-21 03:11 PM

如果你對電腦不是很厲害建議妳重灌會比較快,這款病毒好像會感染其他檔案,沒把母病毒刪除其他子病毒會更多,應該不太可能電腦防毒掃不到,更新一下病毒碼用幾個防毒軟體掃毒看看,進入安全模式把病毒刪除看看
作者: kaede    時間: 2015-11-21 03:12 PM

本帖最後由 kaede 於 2015-11-21 03:14 PM 編輯

除非你付費給釋出病毒者,不然你所有副檔名變成ccc的都沒救

但我想你應該是不會付錢買解救之方,

所以重灌吧  而且全部的槽都要先完整格式化。

這是你還能做的事.....
而且別指望防毒軟體能幫上你的忙...
作者: aa6039    時間: 2015-11-21 05:50 PM

這種的早已沒救了
趕快拿去重灌吧~~
還有想要備份的.......
看能不能用到吧= =
作者: alan5467    時間: 2015-11-21 05:57 PM

確認是病毒無誤,我一星期前也感染了
當時電腦也是變慢,我開啟工作管理員之後
無意間發現資源全被病毒吃了,因為病毒在改大部分的檔案
我立刻關閉該程式
這個病毒會在每個檔案的檔頭加入一些東西,所以每個檔案都會增加1~2K
以致於檔案變成無效檔案,似乎只有.rm檔或是少部分格式不受影響
我的痛是所有拍攝的照片都毀了,正設法搶救中。
還好系統還能正常工作。

你可以在DOS模式下刪除
按視窗左下角開始 >> 輸入 CMD 後按enter
會出現DOS 命令提示
輸入 del c: _how_recover*.* /s
以及 del c: _UpdaterService_CFG.ini /s  兩個步驟就可以將檔案刪除
作者: tpabepankimo    時間: 2015-11-21 05:57 PM

你的檔案被加密綁架了,除非你付錢給對方(千萬不可)!
建議重灌!
作者: a543543    時間: 2015-11-21 08:04 PM

武戲 發表於 2015-11-21 03:11 PM
如果你對電腦不是很厲害建議妳重灌會比較快,這款病毒好像會感染其他檔案,沒把母病毒刪除其他子病毒會更多 ...

我的好像掃不到,本來發現實我馬上掃毒,好像說有發現
可是掃完卻沒有發現=.="
想說在掃一次就跑不動了
因為資料一直在增值...
作者: yenhao0218    時間: 2015-11-21 08:14 PM

想請問一下電腦是否已經很久沒有更新及重灌
防毒軟體是否有正常更新

但看您的狀況而言
整台電腦都已經變得非常慢
即使能救回來,但可能也無法根治

最建議的方式還是儘快把東西備份,並且重灌~
重灌之後,防毒等防禦都做好
一來速度變快,二來也不用擔心資料外洩等中毒沒有根治的問題~
作者: a543543    時間: 2015-11-21 08:25 PM

本帖最後由 a543543 於 2015-11-21 08:26 PM 編輯
yenhao0218 發表於 2015-11-21 08:14 PM
想請問一下電腦是否已經很久沒有更新及重灌
防毒軟體是否有正常更新


以重灌,不過現在W7的C曹內沒有覆蓋掉之前的檔案
正常重灌都會把之前C曹全部砍掉安裝新才對,不過我內建重灌壞了
只能跟別人借光碟,沒辦法覆蓋掉之前的我在想是不是要格式化C曹
http://www.eyny.com/forum.php?mo ... extra=#pid286057454
我新PO問W7重灌問題的文章
大大知道嗎? 看分線下面的文就可以,感謝
作者: greg1972    時間: 2015-11-23 04:26 PM

本帖最後由 greg1972 於 2015-11-23 05:03 PM 編輯

恭喜!!你趕上最新流行了
這個病毒其實並不怎麼厲害~市面上防毒軟體可以抓到 47 /  53 隻(virustotal 統計)
所以多半都會被抓到~沒抓到的就會中標了~但他可惡在於中標後就會開始把你的檔案加密...然後要求你付錢解密

建議你不用多花心思了~直接格式化重灌就是了~
因為這個病毒是勒索病毒,
主要是把你的檔案全部用RSA-2048加密鎖死~然後要你付幾千到幾萬不等的費用幫你解密
但是有國內研究機構(TACERT臺灣學術網路危機處理中心團隊)發現付錢的網站似乎已經不能連上
感染途徑是透過使用「釣魚郵件」欺騙使用者開啟附件,常見以快遞公司如Fedex、UPS、DHS等名義發送郵件,並夾帶暗藏惡意軟體的壓縮檔附件,附件檔名還偽裝成xxxxxxxx.pdf.exe,因作業系統隱藏附檔名,容易看成PDF文件而誘騙受害者點選而入侵電腦。已有駭客利用木馬感染工具ZBOT打包這個惡意軟體,結合其他多種方式來入侵。
攻擊範圍:
●不只攻擊受害電腦內的重要文件和檔案
●也會搜尋受害電腦連結的網路芳鄰、網路磁碟機、檔案伺服器等,攻擊公司內網所有共享的文件。

簡單來說:只要你的OS控制的硬碟就會被感染~
網路磁碟則是走網路芳鄰途徑(TCP 139 TCP 445 UDP 137 UDP 138 )
而且就算你關機再開會繼續感染(因為已經寫入變成開機自動執行)~
遇到這個狀況~如果你是家用單機(沒有跟其他電腦有網路磁碟),
先把USB跟行動硬碟趕快拔除~以免感染~之後就是直接重灌了~
如果是公司中的~一發現趕快先斷網~之後還是"重灌"....

直接給你結論吧!!(來自:TACERT臺灣學術網路危機處理中心團隊)

1. 使用者可能透過被APT 攻擊或網路下載執行到惡意程式而遭受感染,目前有多數人回報是透過瀏覽器就莫名遭受感染,並未下載執行到可疑檔案。

2. 主機一旦被感染後,惡意程式會開始加密所有磁碟中的文件檔、圖片檔和影音檔案。

3. 惡意程式一旦加密完各類檔案後會自我刪除,不讓使用者取得。

4. 惡意程式隨後會 更改系統桌面 以及跳出程式紅底畫,引導 ,引導 受害者如何去 害者如何去 支付贖金來取得解密私鑰。

5. Cryto Lokcer 號稱使用 RSA -2048 加密,因為沒有私鑰基本上是無法救回 檔案,建議使用者要定期備份重資料避免無法挽回。

6. 理論上感染惡意程式後可以透過 Tor Browser 開啟匿名贖金網站,然而 此 例測試發現無法開啟,應該是贖金網站已經被撤除故若使用者感染此 例測試發現無法開啟,應該是贖金網站已經被撤除故若使用者感染此 例測試發現無法開啟,應該是贖金網站已經被撤除故若使用者感染此 例測試發現無法開啟,應該是贖金網站已經被撤除故若使用者感染此 例測試發現無法開啟,應該是贖金網站已經被撤除故若使用者感染惡意程式則無法取得私鑰還原 。

7. 建議使用者將系統重新安裝,避免病毒遺留的影響往後可能再次發生。

8. 建議使用者將 作業 系統 更新,並且常用套件如 Adobe Flash Player 、 Adobe Reader 、Java 等等,這些漏洞都有可能導致感染 Cryptolocker 勒索 程式。



作者: greg1972    時間: 2015-11-23 04:55 PM

本帖最後由 greg1972 於 2015-11-23 05:02 PM 編輯

再補充~
可以開啟UAC (開始 - 鍵入UAC)
把 UCA 的層級提高,至少提高到"預設"或是"一律通知"
因為這隻病毒是需要權限執行的~所以如果你不給他權限~他還是會跳出要你許可才會執行的警告
或者可以平時使用電腦時只用一般USER,不要使用 administrator 的最高權限
這樣會相對安全~其實只要平時就只使用 USERS 且 UAC 調比較高感染任何病毒的機會都會減少很多!!
另外一般個人電腦裡面比較重要的應該只有影片跟相片
建議丟進硬碟裡之後,可以把屬性改為"唯讀",除非要編修再改屬性
理論上唯讀的檔案,這個病毒應該沒有權限去加密(ITHOME上2013年有說過此法,備份的檔案改"唯讀")
但因為變種的沒有嘗試過,不知道是否會改檔案屬性~
不知道有哪位中獎者又還沒清除的~可以幫忙試試看~丟一隻唯讀檔案進去看是否也會被加密

對了!!
另外建議不要裝雲端硬碟的client 端程式
就算有裝的話,請把網路同步由"自動"改為"手動"~避免因為檔案被加密後同步回去雲端硬碟

作者: gary0930800930    時間: 2015-11-23 06:02 PM

有時候建議是重灌比較快 雖然麻煩了點
作者: 瘋狂蛋塔    時間: 2015-11-25 11:22 AM

提示: 作者被禁止或刪除 內容自動屏蔽
作者: ab101238    時間: 2015-11-27 05:24 PM

您有先掃毒看看嗎?
那些檔案可能是開啟某些程式後殘留下來的檔案喔
作者: a167094    時間: 2015-11-28 08:31 AM

提示: 作者被禁止或刪除 內容自動屏蔽
作者: vdz2021    時間: 2015-11-28 10:40 AM

看有沒有之前備份的檔案重新覆蓋試試...若不行直接重灌吧  

這樣也可以避免的上網使用的個資外洩...
作者: droplancer    時間: 2015-11-29 10:10 PM

剛剛中獎...
提供"他"給我的文件資料擋
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
________________________1234____________________________________
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.




歡迎光臨 伊莉討論區 (http://a401.file-static.com/) Powered by Discuz!