勒索軟體橫行，你周遭有人中獎嗎
 

最近病毒已經不流行了
最新流行是這個號稱勒索軟體
還得用彼特幣付贖金
說會更改mbr
好像很厲害
我好怕啊:on_14::on_14:

你周遭可有朋友中獎
症狀是如何

我窩嘔～

就是網站點一下載點
就不知不覺中標 (不會透過windows UAC機制問你是否執行)
會從 C: 開始掃瞄磁碟對你的檔案加密 (二代軟會連上網甚至讓你網路硬碟...)
加完密會在該資料夾留下 你的檔案被加密的宣告文件(及如何解密$$)
一個是圖檔格式
一個是文字檔格式
檔名相同
基本上防毒軟體是一點用都沒有
大多情況只能靠自己發現
發覺有問題時 (因為會大量寫檔電腦可能會拖慢)
用程序管理軟體把那個 程序終結就可停止
但還需要將 windows裡得 "啟動" 做檢查 (除去)
並根據 啟動項目 找到該 .exe將其刪除
(基本上不想留下陰影，還是做系統重灌/還原 的好)

不過以上
當然最麻煩的是被加密的檔案
像是 .rar之類壓縮檔 .jpg之類的圖檔 .avi之類的影音檔 .txt之類的文字檔 .dat之類的資料檔 ...
雖然有好心的協助解密網站
但不要去指望... (特別是新一點出頭的綁架軟體)
只能忍痛...

總之不要去點那些不熟的網站
因為 勒索軟體 為了有效率
檔案都很小 (秒間就能完成下載並開始執行)
所以對小於 幾十MB 的連結要多加考慮

電腦越快情況越慘
如果是 SSD硬碟大概不用 10分鐘幾百G的檔案就...
當然還是有防範機制
目前來講因為要躲過 UAC機制的關係
該程序無法對 "唯讀"屬性的檔案做更改
所以重要 size大的檔案
請更改成唯讀屬性
沒有備份的情況下請將網路硬碟下線

還有一種方式
就是自己寫一個小工具
將預備好的 .jpg及文字 放在 c:\下
監視它
如有修改就告知你做處置
很簡單寫的，寫一段文字存檔 .txt
工具每隔一段時間 比如5 sec就比對文字
或
工具每隔一段時間就比對 修改時間是否更改
即可
進階點就對不明寫檔程序先下達suspend指令先行暫停 惡意程序 (需先建立排除名單比如 uTorrent.exe)

P.S. 已用vb寫好32位元版，如有興趣歡迎 PM e-mail索取

我也中獎了
太相信Windows的UAC安全性了
所以電腦從安裝Windows 7到上上禮拜都沒安裝過防毒軟體
發生後趕緊安裝ESET,然後從攔截的訊息發現到,似乎是利用java的漏洞
中毒後,文字檔內容變亂碼,檔案長度小於200mB的MP4檔跟壓縮檔全都打不開,最主要的是照片也打不開
我遇過二次,一次是影片檔檔案名稱全部以亂碼然後解體,當時不以為意,沒裝防毒軟體
第二次就比較慘,無意中被埋入惡意程式(應該算是病毒程式)
幾乎每個資料夾都會有三個檔案+-HELP-RECOVER-+hkxka-+.txt,+-HELP-RECOVER-+hkxka-+.jpg,+-HELP-RECOVER-+hkxka-+.htm
這三個檔案連啟動資料夾都會安置,所以即使是用防毒軟體將病毒清除了,開機後還是會顯示中毒畫面,不過只要將檔案刪除就沒事了
不過幸好這些損失只是平時娛樂觀賞用,真正重要的小王子都存再另外一顆硬碟,然後燒成BD或DVD

中了勒索軟體好像只能把所有硬碟槽重新格式化與重新安裝系統才能解決,是這樣嗎?

基本上既然是勒索
當然不大會把你搞到連用電腦都不行 (搞到不行你怎麼用電腦付款)
所以像是 .exe之類的 程式軟體就不會動手腳
(主要針對人類看的懂得資料)

所以說把整個磁碟區(比如 mbr)加密
那就真的過頭了
很可能是一群愛現程式技巧的屁孩
給他改版的吧～

當然也有可能是將除了 C:以外的槽加密
如此一來效率極高
因為不用一個檔一個檔的重寫
不過這也是比較好救的情況
因為有不少軟體
可以用掃磁碟的方式回存檔案
不過...
如果他連檔案配置表都動手腳...

看嚴重性吧
小王子是剛好病毒已經將檔案存放再暫存區,然後以系統程式名義要求更新,才讓小王子警覺到,而沒去執行這個程式
然後趕緊下載防毒軟體(但也來不及了,病毒已經發作了),整顆硬碟掃毒
所以小王子並沒有重灌,而到目前為止系統還很正常(不過系統區硬碟容量不夠,很想換顆重灌就是了)
現在這類病毒已不再像以前單純只有一個檔案走天下
如果只是一個檔案很好解決,只要擷取病毒檔案內的機械碼,然後比對所有檔案,刪除就行了
現在是除了病毒本身檔案之外,還有夥伴,不管是病毒或者是夥伴被刪除,只要其中一個檔被發現刪除,另一個病毒就會立刻感應到,重新複製啟動
所以如果掃毒不完全,即使將主要病毒砍了,但仍然還有其他病毒會重新複製執行
最後只有重灌一途比較快
不過還是勸大家一些小工具能不裝就不裝,因為裝了反而會影響到防毒軟體的判斷(也影響系統穩定性)
在公司常常有很多同事跟小王子抱怨電腦跑不快,或怪怪的,但小王子看了他所安裝的軟體,一堆小工具,但也不願說什麼,就盡量講一些常識暗示他們(只是沒人聽得懂就是了)

你們都是電腦高手
我也來談談我處理的經驗
前兩天我收到好朋友送來的電腦,是Crypt勒索病毒感染,由於我朋友付了300美金費用,檔案還是沒有解開,還繼續被勒索,把電腦抱到我這來,已有決心捨棄檔案不要了,要我幫他重灌系統,我很好奇既然要捨棄檔案了自己重灌就好了呀,又不是不會,朋友一抹神秘的微笑的說你灌了就知道....
於是我拿起了windows系統光碟片重灌,進入磁碟分割區那欄位才發現c槽分割區呈現灰色,無法刪除更無法格式化,瞬間我了解朋友微笑的意思了,我告訴朋友電腦留下住院,你回家等消息吧...........
朋友走後我動用了spfdisk,dos內的fdisk指令,dos內的強制格式化指令,低階格式化結果都失敗,檢查mbr被改寫,但我卻無法改寫回來.想說這病毒這麼厲害難道無法可解要換硬碟嗎?
不死心的我把硬碟拆下,裝在我自己電腦上面,以WD公司出品的Data Lifeguard Diagnostic來處理,當然是採用write zeros抹除的方式,死馬當活馬醫吧,花了一個晚上讓它跑,跑完後初始化硬碟寫入mbr終於成功,重新做硬碟分割後重灌完成!!
唯一遺憾的是資料無法救援,這解密實在是很難,目前雖有解密網站但好像也關了,聽說也無法完全解密,我告訴朋友硬碟救回來了,總比換顆新的好吧,至少是不幸中之大幸吧,哈哈!!

Testdisk 及 DiskGenius 可以試試
或著用隨意的分割區映象檔還原 (不是原來的也沒關係)
之後再把他刪除即可
如果可行其碼比從頭跑到尾的方式快多了

如此可以備份mbr嗎
又該如何備份與回存
在win 7

剛找到可以匯出和匯回mbr的小程式
大家可試試

其實不用備份啦
只要利用fdisk或spfdisk然後後面加上參數mbr(fdisk /mbr或spfdisk /mbr)
就可以將mbr恢復原來的設定
不過小王子不清楚fdisk跟spfdisk是否可以用再超過500GB以上的硬碟就是了

應該不是mbr,而是Fdisk無法更改的磁區被改寫吧
因為mbr只要使用fdisk /mbr就可以恢復原來的狀態
而Fdisk無法更改的磁區,只有低階格式化可以更改
像有些重量級的軟體(如Autocad)好像就是在這區域存入識別碼,所以就算就硬碟fdisk重灌了,系統仍然知道之前安裝過這些軟體,而無法繼續試用30天