個人積分:23分
文章編號:56424227
個人積分:5642分
文章編號:56435312
肚子三層非一日之饞 wrote:
5.作業系統WIN7,自動更新有開啟,防毒軟體使用的是 AVAST...(恕刪)
Looks like AVAST cannot block some of them.
An old threat is back: Ramsonware CryptoWall 3.0. Get Avast for protection.
“Against future threats like this, having a backup is always a good idea – who knows when a new version of CryptoLocker will be released, and every antivirus solution is reactive by nature.The encryption used is virtually unbreakable, there is zero chance of recovering files after infection.”
個人積分:1577分
文章編號:56455849
個人積分:1577分
文章編號:56456175
苦主是外商業務員,狀況大致如下:
電腦非常老,老到除了能工作之外幾乎沒有其他功能
電腦規格:P4賽揚2.0、512MB RAM
工作內容:
1、遠端登入公司系統(進入一個SERVER虛擬的桌面),填寫每日工作報告,
2、完成之後系統會發一封MAIL到個人信箱,確認信箱收到MAIL就算完成工作
電腦軟體:WINXP、IE6、outlook express、過期很多年的防毒
根據苦主表示:因為今天開始要出差,當天工作提早完成,順便瀏覽了一些網站看看出差地點附近的食宿,看著看著畫面上就出現了[檔案已經被加密......的訊息],驚覺不妥就趕緊關機。
現場觀察:用PE啟動,去瀏覽硬碟資料
大多數檔案都被加密,.被加密的檔案在副檔名後面會加入 .encrypted (例如:ABC.jpg.encrypted)
初步檢視jpg檔、xls檔、doc檔、pdf檔、outlook express的dbx檔,這些都被加密
但是 exe檔、txt檔、bmp檔、png檔、ini檔、avi檔都沒事
登入web信箱看信件備份,收件夾和寄件備份都沒有可疑郵件或附加檔案,應該不是mail造成
附上陽明大學的公告當作參考 [104/06/18] 最近本校多部電腦中檔案加密勒索病毒之威脅,請全校師生多加注意
個人積分:5977分
文章編號:56456312
個人積分:5分
文章編號:56456960
個人積分:1分
文章編號:56459075
全新安裝 XPSP3,IE8,MSE (都包含最後的更新,與病毒碼), Flash(18.0.0.194), 7-Zip, 其餘第三方軟體全無安裝(包含Java,PDF...等等)
發揮實驗精神
,同一OS,主機名稱不同,IP不同.如何中毒:
1.IE瀏覽被植入病毒的網站, 不會提示安裝(因為會被自動重新導向到另一個網頁或另開新視窗)後, 一律中標(*註一)
2.症狀:
被加密的(所有硬碟)檔案在副檔名後面會加入 .encrypted
與先前的病毒有加密副檔名列表不同,這次是白名單(如:.exe,.dll,.inf,.sys,c:\windows\* ...等不加密,其餘全加)
工作管理員"多"出現一個 explorer.exe
更詳細的狀況如
http://www.bleepingcomputer.com/forums/t/574608/crypt0l0cker-support-topic/page-3
[White Hat Mike]所說的 (Point-in-Time Analysis: Crypt0l0cker Ransomware (4/30/2015))
3.病毒加密速度超快(*註二)
4.變種速度超快(*註三)
*註一:病毒為網站的廣告網頁產生, 因此同一網站每次瀏覽並非一定中毒要靠"運氣"(多次Restore OS後才知道是哪個廣告網頁
).若已經中標,而且已經將病毒清除乾淨,但保留被加密的檔案,再次遇到病毒廣告網頁,它會好心的"放過你".
*註二:中毒後,只需不到一分鐘,OS碟該被加密的幾乎都加密完成(傳統硬碟).
*註三:同一天病毒從[White Hat Mike]所說的檔案大小280KB(MSE有掃到但自動封鎖也來不及了),變為276KB(MSE掃不到).
解決方式:
1.解除Flash(18.0.0.194)後,IE瀏覽病毒廣告網頁沒問題.
2.解除IE的Flash,改用Chrome內建的Flash瀏覽病毒廣告網頁沒問題(但不保證變種後又中喔,所以建議先關閉Flash).
問題:
1.Adobe官網說Flash(18.0.0.194)有修正CVE number: CVE-2015-3113,但在IE8中照樣中毒?Chrome沒事.
2.問我病毒網頁在哪?...不想害人也不想造謠某網站所以就別問了.
個人積分:8分
文章編號:56460087
個人積分:5分
文章編號:56460378
個人積分:1577分
文章編號:56462099
