PTT數位生活區 / AntiVirus (防毒)

[求救] CryptoLocker/Ransomeware加密

看板AntiVirus (防毒)作者 (DAwu)時間12年前 (2013/10/13 05:46), 編輯推噓24(24046)
留言70則, 11人參與, 最新討論串1/1
1. 敘述問題: 在這裡請依序詳細說明你的電腦發生了什麼事情,如果有圖片、影片更好! 中了有名的CryptoLocker… 把所有你的檔案加密然後限定時間不付錢的話就再也救不回來 圖片網路上一找應該超級多 2. 系統資料: 使用的作業系統(如:Windows XP、Windows Vista) 使用的防毒軟體 server2008/ windows 7 Symentec Endpoint 3. 分析報告: 完全不是毒所以也掃不出什麼東西, 看了一堆國外的討論好像都沒解,現在似乎連FBI都進來調查了… 不知道有沒有救? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 172.250.44.242
10/13 06:34, , 1F
電腦不要開,或詢問銀行能不能配合做假帳
10/13 06:34, 1F
10/13 06:34, , 2F
錢先給他扣
10/13 06:34, 2F
10/13 06:34, , 3F
之後用爭議款退回來
10/13 06:34, 3F
10/13 06:35, , 4F
忘記補充,請看他支援哪種付款方式
10/13 06:35, 4F
10/13 08:07, , 5F
連怎麼付錢都有點難度了
10/13 08:07, 5F
10/13 08:13, , 6F
看要不要報警,然後請銀行配合作帳解鎖....雖然這是在
10/13 08:13, 6F
10/13 08:13, , 7F
國外抓不到
10/13 08:13, 7F
10/13 09:03, , 8F
重要資料的話建議你不要移除病毒然後想辦法付錢
10/13 09:03, 8F
10/13 10:59, , 9F
台灣總算出現受害者了=_=
10/13 10:59, 9F
10/13 11:19, , 10F
太恐怖了...
10/13 11:19, 10F
10/13 11:50, , 11F
不是在台灣中的啦…只是想來問問看…
10/13 11:50, 11F
10/13 12:17, , 12F
已經好幾年沒看過這麼扯的毒了
10/13 12:17, 12F
10/13 12:23, , 13F
我猜,如果把伺服器用host擋掉,有沒有辦法暫時免疫它?
10/13 12:23, 13F
10/13 13:51, , 14F
方便私信提供下載點嗎?我想試毒研究
10/13 13:51, 14F
10/13 13:57, , 15F
卡飯有樣本了 估狗可以蒐到
10/13 13:57, 15F
10/13 14:29, , 16F
剛有下載到 但他好像對我電腦沒興趣就自殺了 哈哈
10/13 14:29, 16F
10/13 14:44, , 17F
難不成他會看國家IP發作!?XD
10/13 14:44, 17F
10/13 15:19, , 18F
不 知道ㄟ 程式就這樣消失了 什麼都沒發作=_=
10/13 15:19, 18F
10/13 15:21, , 19F
= = 那會不會是被防毒吃走了
10/13 15:21, 19F
10/13 15:30, , 20F
這個病毒好像是針對企業用戶,直接會不會跟這有關,臺
10/13 15:30, 20F
10/13 15:30, , 21F
灣之前有人中過,是公司的工作電腦
10/13 15:30, 21F
10/13 15:31, , 22F
修正"不知道會不會跟這有關"
10/13 15:31, 22F
10/13 15:50, , 23F
我測試的機器是虛擬機配原版系統,外加幾個分析用的軟體
10/13 15:50, 23F
10/13 15:51, , 24F
我想我的環境不適合他執行吧 可能遇到例外就自殺了 哈哈
10/13 15:51, 24F
10/13 16:16, , 25F
你的虛擬機裝的是x64系統嗎?@@
10/13 16:16, 25F
10/13 16:44, , 26F
10/13 16:44, 26F
10/13 17:10, , 27F
那應該有可能是這個原因耶XD
10/13 17:10, 27F
10/13 22:41, , 28F
x64一樣會中
10/13 22:41, 28F
10/14 10:03, , 29F
是喔@@ 那alog你電腦裡面有裝java runtime environment嗎@@?
10/14 10:03, 29F
10/15 04:46, , 30F
我後來回顧一下
10/15 04:46, 30F
10/15 04:47, , 31F
我後來發現其實已經在跑 然後他會另外產生一個副本在AppData
10/15 04:47, 31F
10/15 04:48, , 32F
接著這個副本會潛伏於系統 正常來說關不掉
10/15 04:48, 32F
10/15 04:49, , 33F
你可以為副本改名 再用工作管理員停止
10/15 04:49, 33F
10/15 04:50, , 34F
他在潛伏期間 會不停的try 網址 而try的網址是有規則的亂數名
10/15 04:50, 34F
10/15 04:51, , 35F
這表示說他並沒有直接全部註冊,避免domain name 商起疑
10/15 04:51, 35F
10/15 04:52, , 36F
直到程式try中 程式才會進入到下一個接段
10/15 04:52, 36F
10/15 04:53, , 37F
另外他會掃描區域網路有沒有其他電腦可用戶
10/15 04:53, 37F
10/15 04:54, , 38F
目前為止因為他還在try 所以他不想理我電腦的文件就是了
10/15 04:54, 38F
10/15 04:55, , 39F
目前手邊搜集到的資訊是他目前弄了四台主機
10/15 04:55, 39F
10/15 04:56, , 40F
慣用centos跟debian 開22 80 1720 port
10/15 04:56, 40F
10/15 04:57, , 41F
他name server都指向某台主機 然後主機ip由這四台輪著用
10/15 04:57, 41F
10/15 04:58, , 42F
結論是這東西還蠻有巧思的,我喜歡,可惜我不會解 這檔案的殼
10/15 04:58, 42F
10/15 05:00, , 43F
另外他有放解密的程式在網站上,可惜會特別鎖起來無法下載
10/15 05:00, 43F
10/15 05:01, , 44F
X目前只研究到這,因為他一直不肯發作換桌布QQ
10/15 05:01, 44F
10/15 05:04, , 45F
而解鎖的方法大概就只能匯款成功後,駭客提供解密程式給你
10/15 05:04, 45F
10/15 05:05, , 46F
那把key恐怕在http伺服器的log內 不需資料庫系統
10/15 05:05, 46F
10/15 05:06, , 47F
除了打進伺服器我想沒別的方式可以拿key了
10/15 05:06, 47F
10/15 05:07, , 48F
所以我在想,僅剩解法是付款 或
10/15 05:07, 48F
10/15 05:08, , 49F
銀行與金流業者作帳騙過駭客,使交易成立
10/15 05:08, 49F
10/15 05:10, , 50F
不過從先例來看,金流這裡不是全自動化,駭客除非得到款項
10/15 05:10, 50F
10/15 05:10, , 51F
就不會給予任何解密程式
10/15 05:10, 51F
10/15 05:16, , 52F
感染方式是用adobe pdf的0day 的樣子且有鎖定特定企業網路
10/15 05:16, 52F
10/15 05:18, , 53F
如果你不是那個目標下的,pdf 0day不會作動,造成搜証困難
10/15 05:18, 53F
10/15 05:21, , 54F
我想他們這月初一攤獲利應該有二百多萬台票了
10/15 05:21, 54F
10/15 10:08, , 55F
這太強了...orz
10/15 10:08, 55F
10/15 16:14, , 56F
好精彩阿!這東西如果有開始用者帳戶控制,可以擋下嗎?
10/15 16:14, 56F
10/15 18:48, , 57F
這個駭客的程式比較明顯的特徵是處理程序會有一個英文數字很
10/15 18:48, 57F
10/15 18:49, , 58F
亂又很長,程序描述也是亂數,很明顯有問題
10/15 18:49, 58F
10/15 18:49, , 59F
有看到馬上先關機
10/15 18:49, 59F
10/15 18:50, , 60F
再想辦法移除
10/15 18:50, 60F
10/15 18:51, , 61F
使用者控制好像能做的有限,可以考慮程式控管軟體或avast
10/15 18:51, 61F
10/15 18:52, , 62F
就是那種會先檢查程式是不是可以執行的防毒軟體可以防範
10/15 18:52, 62F
10/15 18:53, , 63F
另外就是訊息方面要小心被滲透,因為黑市來的0day很麻煩
10/15 18:53, 63F
10/15 18:53, , 64F
如果被防火牆封殺,無法取得公匙,他還會進行加密嗎?
10/15 18:53, 64F
10/15 18:59, , 65F
我想如果你們有建立domain name 白名單,一開始0day會先失敗
10/15 18:59, 65F
10/15 19:01, , 66F
以流程來看應該是先送金鑰
10/15 19:01, 66F
10/15 19:02, , 67F
防火牆設定的很好,剩下的問題就是外來的附件
10/15 19:02, 67F
10/15 19:03, , 68F
X但他透過網址在傳的 用某個名義騙user
10/15 19:03, 68F
10/16 01:38, , 69F
國外目前的做法是在GP裡面把所有Appdata下的exe都檔掉
10/16 01:38, 69F
10/16 01:38, , 70F
但也只是預防而已…
10/16 01:38, 70F
更多 aaaaa0703 的文章
文章代碼(AID): #1IMSCyRg (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 aaaaa0703 的文章
文章代碼(AID): #1IMSCyRg (AntiVirus)