剛好最近從淘寶買了一台二手筆電Z(win7,sp1),因為不久後就要重灌,所以我就把硬碟Y接上檢查裡面有沒有災情,看了一下似乎是無恙,但X中毒後幾天赫然發現筆電Z也跟X中了一樣的勒索病毒。
筆電Z有C,D兩槽,剛拿到手的時候有做了一個系統備份放在D槽(沒被加密到),所以先還原了一下,然後用Kaspersky的Virus Removal Tool掃瞄,接著再用他們家的Anti-Ransomware Tool掃瞄,後者沒有異常
前著發現三個異常,其中前兩個是原本拿到筆電時已經安裝的應用程式相關檔案(似乎是安裝系統用的),最後一個不明,但卡巴判定惡意程度似乎還好
那問題來了,筆電Z到底是如何被感染到的?目前查到的資料似乎都說勒索主要是靠惡意網頁或是執行了有毒的應用程式
但拿到它之後也只上了幾次網,撇開這因素與掃到的可疑檔案,那剩下傳染途徑的好像只有那個硬碟Y(Z的檔案被感染加密的修改時間看起來跟接上Y使用時很接近)
可是勒索病毒真能以這樣傳染嗎?
幾個疑問:
1.筆電X的檔案被加密的時間有兩個區間,好像就對應出門兩次用安全模式上網的時候,但是上網也沒去什麼奇怪的網站,所以是病毒早就潛伏在系統,安全模式的時候跑出來作祟?(安全模式使用時系統防護力比較弱?)
2.如果病毒真能潛伏,那是以什麼形式?偽裝成檔案?(autorun檔?)那麼接上被感染的硬碟的電腦也會被感染嗎?但這又有點怪,筆電Z在接上硬碟Y之後還有再接別的硬碟,然後這硬碟也還有再接回別的電腦,但目前還沒其他災情。
3.病毒怎麼進到硬碟Y的?如果在筆電X接上Y的時候就感染了它,那筆電Z用卡巴掃D槽也沒有找到勒索病毒(雖然是還原了系統後再掃,但病毒不會均勻地散佈到每個槽嗎?)
4.硬碟Y現在還沒看到有被加密的檔案,如果硬碟Y並沒有被感染,那還有什麼其他可能的傳染途徑?家裡同一台上網的基地台?同樣IP被鎖定攻擊?(兩台筆電中毒的時間不同,浮動IP也可以辦到這種攻擊?)
5.勒索病毒一定要連網才能加密檔案嗎?還是電腦被感染後,離線也能發作繼續加密檔案?
看之前的討論多數人主要還是上網時中獎,病毒會肆虐當時有連著電腦的硬碟,加密完後災情就停止,但現在疑似還可以離線繼續傳染。第一次遇到這種情況,實在一頭霧水,還請版上高手解惑,thx
