[心得] 我也中了CryptoL0cker勒索病毒
家裡的桌電OS用的是Windows7專業版,i3老電腦。
上週在找試用版的序號,可能是載了crack檔,或是序號產生器,
安裝視窗到一半卡住,無法下一步,有些納悶但沒太在意放著不管他,
接下來是地獄般的半小時:
1.CPU異常飆高,開個網頁都很頓,Firefox一般經常都開幾十個tab,也沒太在意,
重開了幾次Firefox後,仍然如故。
2.開工作管理員把loading最高的process: explorer關掉,過沒多久還是飆高。
3.重開機了兩次。(平常桌電都休眠喚醒,很少重開機)
4.情況依然如故,想到剛剛不以為意跳出的視窗都關掉,好像發生了大事,
上網找了幾個關鍵字爬文,發現大事不妙,中了CryptoL0cker,
快速把一些工作檔案收尾存檔,瀏覽器備份同步,接著拔網路線,
等不及Windows慢慢關機,直接power off強制關機。
清理戰場:
每個被加密的檔案後面都被加上.encrypted副檔名,並會在該目錄留下
HOW_TO_RESTORE_FILES.html
HOW_TO_RESTORE_FILES.txt,明確告知要勒索比特幣。
接著搜尋*.encrypted、HOW_TO_RESTORE_FILES.html,查找被加密的檔案
被加密的檔案類型有:
文件檔:txt、doc、docX、pdf、pdf、htm
壓縮檔:ZIP、rar、
影片檔:mp4、、mkv、flv、rmvb、ISO、字幕檔ass、sub
圖片檔:jpg (png gif都沒事)
部分程式碼
目前作法:
1.其他HDD都離線,把系統碟C:整個format掉重灌OS;目前過了三天,還沒發現異狀。
2.把所有*.encrypted都刪掉,
思考:
1.從被加密的檔案及時間,可以看出某些規則:
最先加密的是純數字、英文命名的資料夾。
會先加密最近存取過的檔案,可能是直接抓cache。
txt、jpg量最多,可能是檔案小,容易處理,(這兩種最令人心痛),
很多時候為了維持文件可讀性,很多資料都用txt檔,損失慘重。
2.不清楚是否拔掉網路線就停止加密,發現時最好盡快把所有HDD離線。
3.備份、雲端
之前備份都是燒起來,但是量越來越大,後來就懶了,
這次某個年份前的檔案還好都有備份燒起來,部分有回復回來,中間到最近這一段
就都報銷了,雲端備份雖然不錯,但爬文看災情連雲端硬碟有設定client online同步
可寫入的話,也會被加密的樣子,
我承認這次是我一時想不開手賤去點了crack是主因,
以後真的要認真做好備份,並離線,時常online的話,不管是雲端硬碟或是實體HDD,
都有感染風險。
Windows、flash、java等要定期update,不要不裝防毒軟體讓電腦裸奔,
我這樣跑了兩年多沒事並不代表未來還是沒事。
本次損失的影片檔、圖檔很多,大概損失了幾百G,由於entry很多,
半小時內他加密的範圍雖廣,四顆HDD都有檔案受害,但都是部分,
再加上老電腦速度慢,可能因為這樣延後了私人資料的受害,
最心痛的是近一兩年的部分照片、文件檔,還好有關工作上的東西幾乎都放在雲端,
不然就真的要抱頭痛哭好幾天。
我的C:D:是同一顆HDD分割,只format掉C:重灌,
其他中獎的D: E:...等等不知道會不會受感染,
目前這樣過了三天還沒發現異狀,
不過過得有點戰戰兢兢,不時擔心會去看一下CPU loading有沒有異常,嘆氣.....
最近爬文受了不少幫助,也寫一篇受害經驗分享。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.169.192.100
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1450087600.A.084.html
推
12/14 19:38, , 1F
12/14 19:38, 1F
推
12/14 19:48, , 2F
12/14 19:48, 2F
推
12/14 19:53, , 3F
12/14 19:53, 3F
推
12/14 20:53, , 4F
12/14 20:53, 4F
推
12/14 21:27, , 5F
12/14 21:27, 5F
推
12/14 23:35, , 6F
12/14 23:35, 6F
→
12/14 23:37, , 7F
12/14 23:37, 7F
→
12/15 00:20, , 8F
12/15 00:20, 8F
→
12/15 00:46, , 9F
12/15 00:46, 9F
推
12/15 10:14, , 10F
12/15 10:14, 10F
→
12/15 10:51, , 11F
12/15 10:51, 11F
推
12/15 11:11, , 12F
12/15 11:11, 12F
推
12/15 18:22, , 13F
12/15 18:22, 13F
推
12/16 08:24, , 14F
12/16 08:24, 14F
推
12/16 16:23, , 15F
12/16 16:23, 15F
推
12/16 17:13, , 16F
12/16 17:13, 16F
推
12/16 17:17, , 17F
12/16 17:17, 17F
→
12/16 17:18, , 18F
12/16 17:18, 18F
推
12/16 17:24, , 19F
12/16 17:24, 19F
→
12/16 17:25, , 20F
12/16 17:25, 20F
推
12/16 17:44, , 21F
12/16 17:44, 21F
→
12/16 18:59, , 22F
12/16 18:59, 22F
→
12/16 18:59, , 23F
12/16 18:59, 23F
→
12/16 19:04, , 24F
12/16 19:04, 24F
推
12/16 19:17, , 25F
12/16 19:17, 25F
→
12/16 19:52, , 26F
12/16 19:52, 26F
→
12/16 19:55, , 27F
12/16 19:55, 27F
→
12/16 19:59, , 28F
12/16 19:59, 28F
→
12/16 20:01, , 29F
12/16 20:01, 29F
→
12/16 20:10, , 30F
12/16 20:10, 30F
→
12/16 20:10, , 31F
12/16 20:10, 31F
推
12/16 21:46, , 32F
12/16 21:46, 32F
→
12/16 21:49, , 33F
12/16 21:49, 33F
推
12/16 22:19, , 34F
12/16 22:19, 34F
→
12/17 03:46, , 35F
12/17 03:46, 35F
→
12/17 03:47, , 36F
12/17 03:47, 36F
→
12/17 03:47, , 37F
12/17 03:47, 37F
→
12/17 04:00, , 38F
12/17 04:00, 38F
→
12/17 04:03, , 39F
12/17 04:03, 39F
→
12/17 04:03, , 40F
12/17 04:03, 40F
→
12/17 04:03, , 41F
12/17 04:03, 41F
→
12/17 04:06, , 42F
12/17 04:06, 42F
→
12/17 04:06, , 43F
12/17 04:06, 43F
→
12/17 04:06, , 44F
12/17 04:06, 44F
→
12/17 04:06, , 45F
12/17 04:06, 45F
→
12/17 07:25, , 46F
12/17 07:25, 46F
→
12/17 07:28, , 47F
12/17 07:28, 47F
→
12/17 07:28, , 48F
12/17 07:28, 48F
→
12/17 07:34, , 49F
12/17 07:34, 49F
→
12/17 07:36, , 50F
12/17 07:36, 50F
→
12/17 07:37, , 51F
12/17 07:37, 51F
→
12/17 07:38, , 52F
12/17 07:38, 52F
→
12/17 07:42, , 53F
12/17 07:42, 53F
→
12/17 07:55, , 54F
12/17 07:55, 54F
推
12/19 23:29, , 55F
12/19 23:29, 55F
→
12/19 23:30, , 56F
12/19 23:30, 56F
→
12/20 12:05, , 57F
12/20 12:05, 57F
→
12/25 14:54, , 58F
12/25 14:54, 58F
推
12/27 11:45, , 59F
12/27 11:45, 59F
→
01/08 01:34, , 60F
01/08 01:34, 60F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章