Re: [問題] 所有照片文件MP3的檔名多了.cryp1
關於這次的病毒,目前我看到的情況:
1、會在功能表的“啟動“目錄,放置三個檔案 html、jpg、txt
(所以每次開機時,都會自動跑出勒索訊息出來)
看不到是正常的…因為是 隱藏
2、啟動目錄還會有個link,
是連接到“C:\使用者\使用者名稱\AppData\Local\Temp“裡的一個dll檔,
而且在這個目錄裡面還會出現“svchost.exe“ or “rundll32.exe“,
感覺是用 dll檔+exe 去做加密
(這個目錄會出現這二個exe 是一件很奇怪的事……
附上奇怪的svchost.exe....
http://imgur.com/5NDuVB6
左邊是正常的,右邊是有問題的
3、此次病毒還會自殺!因為我有看到 進來的檔案有 Erase xxx dll的字眼
4、不再是加密掛載的網路磁碟、網芳上共享的目錄,只要有寫入權限…都會加密
備註:
1、
目前我在“C:\使用者\使用者名稱\AppData\Local\Temp“ 目錄
加上二個空目錄 SVCHOST.EXE、RUNDLL32.EXE 看看會不會有用…
http://imgur.com/efrw7MM
有變種的話…就無用了…
目前的樣本數是WIN7 SP1
(我不希望還有………………
2、事先的宣導真的很重要,
因為有朋友看到勒索訊息時,問我是什麼。
立馬衝下去請他閃開,把電源拔掉(斷網是無用的..)
還好剛開始加密而已…用開機光碟片,還能找回90%的資料
(為什麼不接在另一台PC上面救資料呢…,因為我不想救二台= =
※ 編輯: to5448 (175.180.249.111), 06/04/2016 20:24:50
推
06/04 21:01, , 1F
06/04 21:01, 1F
推
06/04 21:16, , 2F
06/04 21:16, 2F
推
06/04 21:27, , 3F
06/04 21:27, 3F
→
06/04 21:52, , 4F
06/04 21:52, 4F
→
06/04 22:23, , 5F
06/04 22:23, 5F
推
06/04 23:51, , 6F
06/04 23:51, 6F
→
06/04 23:51, , 7F
06/04 23:51, 7F
→
06/05 17:22, , 8F
06/05 17:22, 8F
→
06/05 17:22, , 9F
06/05 17:22, 9F
討論串 (同標題文章)
完整討論串 (本文為第 17 之 33 篇):
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
