引用:
作者: getter
沒有,只能以各種已知的情報、文件來推測 ...
如果是真正的勒索病毒 ... 說明文件中應該會有指定匯款的帳號、金額。
但是文件中只有說用某個軟體就可以正常開啟。
迪西推測的可能,該電腦可能或是曾經有裝過 Tor Browser。不然不會自己變成這樣,
其他可能,連到了需要使用 Tor Browser 的相關網站,為了推銷這個 Tor Browser,
該相關網站有埋入惡質程序,把電腦的本地端的一些文件加密,並開啟文件檔說明。
也只能說有這可能,詳細不知道就是了。
https://zh.wikipedia.org/wiki/Tor |
引用:
作者: mini
100%就是
如果是剛發現可以開啟 工作管理員
看看是否有不明程序讓CPU標高
會提到 Tor Browser是因為這個勒索想要隱密行蹤
Tor Browser使用的 洋蔥路由 技術
讓 WWW傳送路徑以及原傳送者的位址 無法被輕易察知
至於沒提到金額
就是為了促使被綁者 提高私下溝通的意願
藉此提高付款的可能 (算是一種心理技巧,當然沒有溝通的話其目的也不得而知)
最後
可能是新的病毒
該電腦也只能放棄重灌了
如有曾與 連線/隨身碟插拔 的其他電腦最好要趕快確認有無受感染 (使用 工作管理員 看,或搜尋整台硬碟是否出現 dykyjksi) |
引用:
作者: mini
這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx
裡面一段文字提到
===========
在 2013 年的最後幾週,有一些變種勒贖軟體自稱為 Cryptorbit,要求受害者使用 Tor 瀏覽器(帶有預先 Tor 設定的瀏覽器)支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========
所以看來是個老技倆新變種
是沒錯的...
只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢
+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序,而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...
以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time,如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...
以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧,其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了 |
還好,雖然很多的檔案都被加密,然後不得不刪除(有些似乎已無載點了)
有些心疼,不過因為上次硬碟無緣無故故障,造成遺憾後,小王子就再也不相信硬碟
也不是說不相信硬碟(因為仍舊將重要資料存放在硬碟),而是不會將資料放在使用中的硬碟
有些也存放在隨身碟或燒成光碟
郵件也因為使用Thunderbird,所以沒有遺失,但之前Outlook Express的郵件也沒那麼幸運了
會中這病毒,有可能是因為進入對岸的免費空間,然後Windows 7系統有沒做補丁
但因為主機板只支援Windows 10的關係,補完丁後,Windows 7右出現另一個問題(有夠煩
,也只是想用電腦看影片下載文件而已
,惹出這麼多問題
)
謝謝你們
