灌水 - 這是勒索病毒嗎

[魔術王子]

引用:

作者: getter

有此可能 ...

Tor Browser 股溝的結果是一種「完全隱私瀏覽器」...
也有可能是假冒 Tor Browser 的勒索病毒 ...

還有一種可能，電腦有裝 Tor Browser 的關係，安裝設定上「隱私」設定，導致
有檔案被加密。如果是這樣 ... Windows XP 開始，系統本身就有提供「隱私」設定，
只是很多人都不用，也不太會用，啟用之後，就要像 Linux 一樣的帳號登入，不能在
電源啟動後就到「桌面」。

找台沒路用的電腦或是 VM 測試 Tor Browser 就知道了。

迪西把王子貼的文內容是拿去 股溝翻譯，內容如下：

所以你也沒見過這種現象

[getter]

引用:

作者: 魔術王子

所以你也沒見過這種現象

沒有，只能以各種已知的情報、文件來推測 ...

如果是真正的勒索病毒 ... 說明文件中應該會有指定匯款的帳號、金額。
但是文件中只有說用某個軟體就可以正常開啟。

迪西推測的可能，該電腦可能或是曾經有裝過 Tor Browser。不然不會自己變成這樣，
其他可能，連到了需要使用 Tor Browser 的相關網站，為了推銷這個 Tor Browser，
該相關網站有埋入惡質程序，把電腦的本地端的一些文件加密，並開啟文件檔說明。
也只能說有這可能，詳細不知道就是了。

https://zh.wikipedia.org/wiki/Tor

[mini]

100%就是
如果是剛發現可以開啟 工作管理員
看看是否有不明程序讓CPU標高

會提到 Tor Browser是因為這個勒索想要隱密行蹤
Tor Browser使用的 洋蔥路由 技術
讓 WWW傳送路徑以及原傳送者的位址 無法被輕易察知

至於沒提到金額
就是為了促使被綁者 提高私下溝通的意願
藉此提高付款的可能 (算是一種心理技巧，當然沒有溝通的話其目的也不得而知)

最後
可能是新的病毒
該電腦也只能放棄重灌了
如有曾與 連線/隨身碟插拔 的其他電腦最好要趕快確認有無受感染 (使用 工作管理員 看，或搜尋整台硬碟是否出現 dykyjksi)

[mini]

這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx

裡面一段文字提到
===========
在 2013 年的最後幾週，有一些變種勒贖軟體自稱為 Cryptorbit，要求受害者使用 Tor 瀏覽器（帶有預先 Tor 設定的瀏覽器）支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========

所以看來是個老技倆新變種
是沒錯的...

只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢

+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序，而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...

以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time，如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...

以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧，其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了

[魔術王子]

引用:

作者: getter

沒有，只能以各種已知的情報、文件來推測 ...

如果是真正的勒索病毒 ... 說明文件中應該會有指定匯款的帳號、金額。
但是文件中只有說用某個軟體就可以正常開啟。

迪西推測的可能，該電腦可能或是曾經有裝過 Tor Browser。不然不會自己變成這樣，
其他可能，連到了需要使用 Tor Browser 的相關網站，為了推銷這個 Tor Browser，
該相關網站有埋入惡質程序，把電腦的本地端的一些文件加密，並開啟文件檔說明。
也只能說有這可能，詳細不知道就是了。

https://zh.wikipedia.org/wiki/Tor

引用:

作者: mini

100%就是
如果是剛發現可以開啟 工作管理員
看看是否有不明程序讓CPU標高

會提到 Tor Browser是因為這個勒索想要隱密行蹤
Tor Browser使用的 洋蔥路由 技術
讓 WWW傳送路徑以及原傳送者的位址 無法被輕易察知

至於沒提到金額
就是為了促使被綁者 提高私下溝通的意願
藉此提高付款的可能 (算是一種心理技巧，當然沒有溝通的話其目的也不得而知)

最後
可能是新的病毒
該電腦也只能放棄重灌了
如有曾與 連線/隨身碟插拔 的其他電腦最好要趕快確認有無受感染 (使用 工作管理員 看，或搜尋整台硬碟是否出現 dykyjksi)

引用:

作者: mini

這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx

裡面一段文字提到
===========
在 2013 年的最後幾週，有一些變種勒贖軟體自稱為 Cryptorbit，要求受害者使用 Tor 瀏覽器（帶有預先 Tor 設定的瀏覽器）支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========

所以看來是個老技倆新變種
是沒錯的...

只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢

+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序，而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...

以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time，如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...

以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧，其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了

還好,雖然很多的檔案都被加密,然後不得不刪除(有些似乎已無載點了)
有些心疼,不過因為上次硬碟無緣無故故障,造成遺憾後,小王子就再也不相信硬碟
也不是說不相信硬碟(因為仍舊將重要資料存放在硬碟),而是不會將資料放在使用中的硬碟
有些也存放在隨身碟或燒成光碟
郵件也因為使用Thunderbird,所以沒有遺失,但之前Outlook Express的郵件也沒那麼幸運了

會中這病毒,有可能是因為進入對岸的免費空間,然後Windows 7系統有沒做補丁
但因為主機板只支援Windows 10的關係,補完丁後,Windows 7右出現另一個問題(有夠煩,也只是想用電腦看影片下載文件而已,惹出這麼多問題)

謝謝你們

[windborne]

雖然透過windows update修補漏洞，卻因系統無法完全修補
造成執行某些程式竟無法關閉，即使使用工作管理員也關不了
最後只好下載更新包更新

[getter]

引用:

作者: windborne

雖然透過windows update修補漏洞，卻因系統無法完全修補
造成執行某些程式竟無法關閉，即使使用工作管理員也關不了
最後只好下載更新包更新

迪西也遇到了 ... 只能重新啟動解決。