史萊姆論壇

返回   史萊姆論壇 > 綜合討論二區 > 生活話題、日常閒聊、喇勒唬爛灌水區
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』


發文 回覆
 
主題工具 顯示模式
舊 2016-04-02, 04:53 PM   #1
猜謎人
榮譽會員
 
猜謎人 的頭像
榮譽勳章
UID - 14438
在線等級: 級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時
註冊日期: 2002-12-19
住址: 虎爛宮解籤詩處
文章: 18702
現金: 10109 金幣
資產: 2886912 金幣
預設 聊天 - 勒索軟體橫行,你周遭有人中獎嗎

最近病毒已經不流行了
最新流行是這個號稱勒索軟體
還得用彼特幣付贖金
說會更改mbr
好像很厲害
我好怕啊

你周遭可有朋友中獎
症狀是如何
__________________
http://i171.photobucket.com/albums/u287/sad_jellyfish/net-pic/s_zpsf91b1q3t.jpghttp://i171.photobucket.com/albums/u287/sad_jellyfish/gif/banner.gifhttp://i171.photobucket.com/albums/u287/sad_jellyfish/gif/kkk_zps3punatke.gif
猜謎人 目前離線  
送花文章: 1110, 收花文章: 16299 篇, 收花: 83317 次
回覆時引用此帖
有 5 位會員向 猜謎人 送花:
a471 (2016-04-03),grc45 (2016-04-03),Phantom (2016-04-04),runonetime (2016-04-02),tunhsiang (2016-04-03)
感謝您發表一篇好文章
舊 2016-04-02, 07:49 PM   #2 (permalink)
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時
註冊日期: 2002-12-07
文章: 12201
精華: 0
現金: 23707 金幣
資產: 3021187 金幣
預設

我窩嘔~

就是網站點一下載點
就不知不覺中標 (不會透過windows UAC機制問你是否執行)
會從 C: 開始掃瞄磁碟對你的檔案加密 (二代軟會連上網甚至讓你網路硬碟...)
加完密會在該資料夾留下 你的檔案被加密的宣告文件(及如何解密$$)
一個是圖檔格式
一個是文字檔格式
檔名相同
基本上防毒軟體是一點用都沒有
大多情況只能靠自己發現
發覺有問題時 (因為會大量寫檔電腦可能會拖慢)
用程序管理軟體把那個 程序終結就可停止
但還需要將 windows裡得 "啟動" 做檢查 (除去)
並根據 啟動項目 找到該 .exe將其刪除
(基本上不想留下陰影,還是做系統重灌/還原 的好)

不過以上
當然最麻煩的是被加密的檔案
像是 .rar之類壓縮檔 .jpg之類的圖檔 .avi之類的影音檔 .txt之類的文字檔 .dat之類的資料檔 ...
雖然有好心的協助解密網站
但不要去指望... (特別是新一點出頭的綁架軟體)
只能忍痛...

總之不要去點那些不熟的網站
因為 勒索軟體 為了有效率
檔案都很小 (秒間就能完成下載並開始執行)
所以對小於 幾十MB 的連結要多加考慮

電腦越快情況越慘
如果是 SSD硬碟大概不用 10分鐘幾百G的檔案就...
當然還是有防範機制
目前來講因為要躲過 UAC機制的關係
該程序無法對 "唯讀"屬性的檔案做更改
所以重要 size大的檔案
請更改成唯讀屬性
沒有備份的情況下請將網路硬碟下線

還有一種方式
就是自己寫一個小工具
將預備好的 .jpg及文字 放在 c:\下
監視它
如有修改就告知你做處置
很簡單寫的,寫一段文字存檔 .txt
工具每隔一段時間 比如5 sec就比對文字

工具每隔一段時間就比對 修改時間是否更改
即可
進階點就對不明寫檔程序先下達suspend指令先行暫停 惡意程序 (需先建立排除名單比如 uTorrent.exe)

P.S. 已用vb寫好32位元版,如有興趣歡迎 PM e-mail索取

此帖於 2016-04-19 12:26 PM 被 mini 編輯.
mini 目前離線  
送花文章: 1785, 收花文章: 7607 篇, 收花: 26110 次
回覆時引用此帖
有 5 位會員向 mini 送花:
a471 (2016-04-03),getter (2016-04-05),grc45 (2016-04-03),Phantom (2016-04-04),tunhsiang (2016-04-03)
感謝您發表一篇好文章
舊 2016-04-02, 09:07 PM   #3 (permalink)
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2365
精華: 0
現金: 12115 金幣
資產: 2675645 金幣
預設

我也中獎了
太相信Windows的UAC安全性了
所以電腦從安裝Windows 7到上上禮拜都沒安裝過防毒軟體
發生後趕緊安裝ESET,然後從攔截的訊息發現到,似乎是利用java的漏洞
中毒後,文字檔內容變亂碼,檔案長度小於200mB的MP4檔跟壓縮檔全都打不開,最主要的是照片也打不開
我遇過二次,一次是影片檔檔案名稱全部以亂碼然後解體,當時不以為意,沒裝防毒軟體
第二次就比較慘,無意中被埋入惡意程式(應該算是病毒程式)
幾乎每個資料夾都會有三個檔案+-HELP-RECOVER-+hkxka-+.txt,+-HELP-RECOVER-+hkxka-+.jpg,+-HELP-RECOVER-+hkxka-+.htm
這三個檔案連啟動資料夾都會安置,所以即使是用防毒軟體將病毒清除了,開機後還是會顯示中毒畫面,不過只要將檔案刪除就沒事了
不過幸好這些損失只是平時娛樂觀賞用,真正重要的小王子都存再另外一顆硬碟,然後燒成BD或DVD
__________________
魔術就是欣賞神奇的效果
如果魔術的秘密被破解了
那魔術就失去欣賞的價值
魔術王子 目前離線  
送花文章: 1254, 收花文章: 1371 篇, 收花: 3618 次
回覆時引用此帖
有 4 位會員向 魔術王子 送花:
a471 (2016-04-03),grc45 (2016-04-03),Phantom (2016-04-04),tunhsiang (2016-04-03)
感謝您發表一篇好文章
舊 2016-04-03, 04:59 PM   #4 (permalink)
列管會員
 
tunhsiang 的頭像
榮譽勳章
UID - 278416
在線等級: 級別:53 | 在線時長:3126小時 | 升級還需:6小時級別:53 | 在線時長:3126小時 | 升級還需:6小時級別:53 | 在線時長:3126小時 | 升級還需:6小時級別:53 | 在線時長:3126小時 | 升級還需:6小時級別:53 | 在線時長:3126小時 | 升級還需:6小時級別:53 | 在線時長:3126小時 | 升級還需:6小時級別:53 | 在線時長:3126小時 | 升級還需:6小時級別:53 | 在線時長:3126小時 | 升級還需:6小時
註冊日期: 2007-08-31
VIP期限: 2009-12
住址: Taichung
文章: 14130
精華: 0
現金: 243271 金幣
資產: 389251 金幣
預設

中了勒索軟體好像只能把所有硬碟槽重新格式化與重新安裝系統才能解決,是這樣嗎?
tunhsiang 目前離線  
送花文章: 56979, 收花文章: 12812 篇, 收花: 50121 次
回覆時引用此帖
向 tunhsiang 送花的會員:
a471 (2016-04-03)
感謝您發表一篇好文章
舊 2016-04-03, 05:10 PM   #5 (permalink)
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時
註冊日期: 2002-12-07
文章: 12201
精華: 0
現金: 23707 金幣
資產: 3021187 金幣
預設

基本上既然是勒索
當然不大會把你搞到連用電腦都不行 (搞到不行你怎麼用電腦付款)
所以像是 .exe之類的 程式軟體就不會動手腳
(主要針對人類看的懂得資料)

所以說把整個磁碟區(比如 mbr)加密
那就真的過頭了
很可能是一群愛現程式技巧的屁孩
給他改版的吧~

當然也有可能是將除了 C:以外的槽加密
如此一來效率極高
因為不用一個檔一個檔的重寫
不過這也是比較好救的情況
因為有不少軟體
可以用掃磁碟的方式回存檔案
不過...
如果他連檔案配置表都動手腳...
mini 目前離線  
送花文章: 1785, 收花文章: 7607 篇, 收花: 26110 次
回覆時引用此帖
有 5 位會員向 mini 送花:
a471 (2016-04-03),getter (2016-04-05),grc45 (2016-04-04),Phantom (2016-04-04),tunhsiang (2016-04-03)
感謝您發表一篇好文章
舊 2016-04-03, 07:00 PM   #6 (permalink)
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2365
精華: 0
現金: 12115 金幣
資產: 2675645 金幣
預設

引用:
作者: tunhsiang 查看文章
中了勒索軟體好像只能把所有硬碟槽重新格式化與重新安裝系統才能解決,是這樣嗎?
看嚴重性吧
小王子是剛好病毒已經將檔案存放再暫存區,然後以系統程式名義要求更新,才讓小王子警覺到,而沒去執行這個程式
然後趕緊下載防毒軟體(但也來不及了,病毒已經發作了),整顆硬碟掃毒
所以小王子並沒有重灌,而到目前為止系統還很正常(不過系統區硬碟容量不夠,很想換顆重灌就是了)
現在這類病毒已不再像以前單純只有一個檔案走天下
如果只是一個檔案很好解決,只要擷取病毒檔案內的機械碼,然後比對所有檔案,刪除就行了
現在是除了病毒本身檔案之外,還有夥伴,不管是病毒或者是夥伴被刪除,只要其中一個檔被發現刪除,另一個病毒就會立刻感應到,重新複製啟動
所以如果掃毒不完全,即使將主要病毒砍了,但仍然還有其他病毒會重新複製執行
最後只有重灌一途比較快
不過還是勸大家一些小工具能不裝就不裝,因為裝了反而會影響到防毒軟體的判斷(也影響系統穩定性)
在公司常常有很多同事跟小王子抱怨電腦跑不快,或怪怪的,但小王子看了他所安裝的軟體,一堆小工具,但也不願說什麼,就盡量講一些常識暗示他們(只是沒人聽得懂就是了)
魔術王子 目前離線  
送花文章: 1254, 收花文章: 1371 篇, 收花: 3618 次
回覆時引用此帖
有 6 位會員向 魔術王子 送花:
05522 (2016-04-20),a471 (2016-04-03),getter (2016-04-05),grc45 (2016-04-04),Phantom (2016-04-04),tunhsiang (2016-04-03)
感謝您發表一篇好文章
舊 2016-04-20, 05:03 PM   #7 (permalink)
長老會員
 
虛虛 的頭像
榮譽勳章
UID - 26396
在線等級: 級別:21 | 在線時長:554小時 | 升級還需:18小時級別:21 | 在線時長:554小時 | 升級還需:18小時級別:21 | 在線時長:554小時 | 升級還需:18小時級別:21 | 在線時長:554小時 | 升級還需:18小時級別:21 | 在線時長:554小時 | 升級還需:18小時級別:21 | 在線時長:554小時 | 升級還需:18小時
註冊日期: 2003-01-16
住址: 外太空
文章: 1913
現金: 235 金幣
資產: 399820 金幣
Smile

你們都是電腦高手
我也來談談我處理的經驗
前兩天我收到好朋友送來的電腦,是Crypt勒索病毒感染,由於我朋友付了300美金費用,檔案還是沒有解開,還繼續被勒索,把電腦抱到我這來,已有決心捨棄檔案不要了,要我幫他重灌系統,我很好奇既然要捨棄檔案了自己重灌就好了呀,又不是不會,朋友一抹神秘的微笑的說你灌了就知道....
於是我拿起了windows系統光碟片重灌,進入磁碟分割區那欄位才發現c槽分割區呈現灰色,無法刪除更無法格式化,瞬間我了解朋友微笑的意思了,我告訴朋友電腦留下住院,你回家等消息吧...........
朋友走後我動用了spfdisk,dos內的fdisk指令,dos內的強制格式化指令,低階格式化結果都失敗,檢查mbr被改寫,但我卻無法改寫回來.想說這病毒這麼厲害難道無法可解要換硬碟嗎?
不死心的我把硬碟拆下,裝在我自己電腦上面,以WD公司出品的Data Lifeguard Diagnostic來處理,當然是採用write zeros抹除的方式,死馬當活馬醫吧,花了一個晚上讓它跑,跑完後初始化硬碟寫入mbr終於成功,重新做硬碟分割後重灌完成!!
唯一遺憾的是資料無法救援,這解密實在是很難,目前雖有解密網站但好像也關了,聽說也無法完全解密,我告訴朋友硬碟救回來了,總比換顆新的好吧,至少是不幸中之大幸吧,哈哈!!
__________________

CPU:AMD K8-4200 X2 MB:A8N-SLI Premium 顯示卡:青雲6600 512MB DDR2 128Bit / SLI/DVI/TV OUT RAM:創見 1GB X4 雙通道 HDD:SATA0:希捷400G/SATA/7200 8MB SATA1:WD 250GB*7200 SATA2:16MBIDE0:Maxtor250G/7200 8MB IDE1:HITACHI 250G/7200 8MB
POWER:Enhance 400W 12CM FAN CDROM:LITON 52X DVDRW:PINEER DVR-A10XLA
虛虛 目前離線  
送花文章: 374, 收花文章: 714 篇, 收花: 2616 次
回覆時引用此帖
向 虛虛 送花的會員:
getter (2016-04-24)
感謝您發表一篇好文章
舊 2016-04-20, 05:28 PM   #8 (permalink)
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時級別:88 | 在線時長:8126小時 | 升級還需:151小時
註冊日期: 2002-12-07
文章: 12201
精華: 0
現金: 23707 金幣
資產: 3021187 金幣
預設

Testdisk 及 DiskGenius 可以試試
或著用隨意的分割區映象檔還原 (不是原來的也沒關係)
之後再把他刪除即可
如果可行其碼比從頭跑到尾的方式快多了
mini 目前離線  
送花文章: 1785, 收花文章: 7607 篇, 收花: 26110 次
回覆時引用此帖
向 mini 送花的會員:
虛虛 (2016-04-20)
感謝您發表一篇好文章
舊 2016-04-20, 07:30 PM   #9 (permalink)
榮譽會員
 
猜謎人 的頭像
榮譽勳章
UID - 14438
在線等級: 級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時
註冊日期: 2002-12-19
住址: 虎爛宮解籤詩處
文章: 18702
現金: 10109 金幣
資產: 2886912 金幣
預設

如此可以備份mbr嗎
又該如何備份與回存
在win 7
猜謎人 目前離線  
送花文章: 1110, 收花文章: 16299 篇, 收花: 83317 次
回覆時引用此帖
舊 2016-04-20, 07:50 PM   #10 (permalink)
榮譽會員
 
猜謎人 的頭像
榮譽勳章
UID - 14438
在線等級: 級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時級別:99 | 在線時長:10294小時 | 升級還需:106小時
註冊日期: 2002-12-19
住址: 虎爛宮解籤詩處
文章: 18702
現金: 10109 金幣
資產: 2886912 金幣
預設

剛找到可以匯出和匯回mbr的小程式
大家可試試
猜謎人 目前離線  
送花文章: 1110, 收花文章: 16299 篇, 收花: 83317 次
回覆時引用此帖
舊 2016-04-20, 09:40 PM   #11 (permalink)
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2365
精華: 0
現金: 12115 金幣
資產: 2675645 金幣
預設

引用:
作者: 猜謎人 查看文章
剛找到可以匯出和匯回mbr的小程式
大家可試試
其實不用備份啦
只要利用fdisk或spfdisk然後後面加上參數mbr(fdisk /mbr或spfdisk /mbr)
就可以將mbr恢復原來的設定
不過小王子不清楚fdisk跟spfdisk是否可以用再超過500GB以上的硬碟就是了
魔術王子 目前離線  
送花文章: 1254, 收花文章: 1371 篇, 收花: 3618 次
回覆時引用此帖
舊 2016-04-20, 09:49 PM   #12 (permalink)
版區管理員
 
魔術王子 的頭像
榮譽勳章
UID - 115097
在線等級: 級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時級別:38 | 在線時長:1658小時 | 升級還需:19小時
註冊日期: 2004-01-13
住址: 魔術學園
文章: 2365
精華: 0
現金: 12115 金幣
資產: 2675645 金幣
預設

引用:
作者: 虛虛 查看文章
你們都是電腦高手
我也來談談我處理的經驗
前兩天我收到好朋友送來的電腦,是Crypt勒索病毒感染,由於我朋友付了300美金費用,檔案還是沒有解開,還繼續被勒索,把電腦抱到我這來,已有決心捨棄檔案不要了,要我幫他重灌系統,我很好奇既然要捨棄檔案了自己重灌就好了呀,又不是不會,朋友一抹神秘的微笑的說你灌了就知道....
於是我拿起了windows系統光碟片重灌,進入磁碟分割區那欄位才發現c槽分割區呈現灰色,無法刪除更無法格式化,瞬間我了解朋友微笑的意思了,我告訴朋友電腦留下住院,你回家等消息吧...........
朋友走後我動用了spfdisk,dos內的fdisk指令,dos內的強制格式化指令,低階格式化結果都失敗,檢查mbr被改寫,但我卻無法改寫回來.想說這病毒這麼厲害難道無法可解要換硬碟嗎?
不死心的我把硬碟拆下,裝在我自己電腦上面,以WD公司出品的Data Lifeguard Diagnostic來處理,當然是採用write zeros抹除的方式,死馬當活馬醫吧,花了一個晚上讓它跑,跑完後初始化硬碟寫入mbr終於成功,重新做硬碟分割後重灌完成!!
唯一遺憾的是資料無法救援,這解密實在是很難,目前雖有解密網站但好像也關了,聽說也無法完全解密,我告訴朋友硬碟救回來了,總比換顆新的好吧,至少是不幸中之大幸吧,哈哈!!
應該不是mbr,而是Fdisk無法更改的磁區被改寫吧
因為mbr只要使用fdisk /mbr就可以恢復原來的狀態
而Fdisk無法更改的磁區,只有低階格式化可以更改
像有些重量級的軟體(如Autocad)好像就是在這區域存入識別碼,所以就算就硬碟fdisk重灌了,系統仍然知道之前安裝過這些軟體,而無法繼續試用30天
魔術王子 目前離線  
送花文章: 1254, 收花文章: 1371 篇, 收花: 3618 次
回覆時引用此帖
有 2 位會員向 魔術王子 送花:
getter (2016-04-24),虛虛 (2016-04-26)
感謝您發表一篇好文章
發文 回覆


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 12:50 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1