[心得] CERBER中毒處理經過

看板AntiVirus (防毒)作者fucc214 (越嚼越香)時間9年前 (2016/08/01 18:44)推噓2(2推 0噓 13→)

留言15則, 4人參與討論串1/1

本篇對剛中病毒的人有參考價值，但對已經被加密的檔案無法提供幫助，先予說明。發生原因: 點到廣告後連接到掛馬網頁(原本用CHROME開不了，後用IE開啟就中) 事中處理: 剛中CERBER，CPU使用率會飆高，中途會出現兩個CMD視窗，馬上開啟工作管理員查看CPU使用率最高的程式，按右鍵進入病毒所在資料夾，用解鎖程式刪除(我用的是IOBIT UNLOCKER) CERBER在我的電腦程式名稱為FC.exe，刪除之後就正常另外，用強制中止程序是沒用的而且它會自動加入啟動項，下次開機他還是會自動運作，一定要確實刪除運作的檔案。事後分析: 因為檔案都有備份，所以傷害對我而言並不大，所以我把所有加密的檔案通通刪除，因為看了也礙眼(我是用EVERYTHING把所有.CERBER檔案刪除) 以下也是經過EVERYTHING分析結果大概短短五分鐘就有5GB左右的檔案被加密，以JPG、RAR、TXT、PDF為主，但不以此為限只要不會妨礙系統運作的檔案都是下手的目標，我磁碟有分成三區，它會三區掃描完後開始同步加密。根據統計，在C槽(作業系統，也是病毒所在位置)它會從執行路徑附近資料夾開始亂槍打鳥隨意加密，因為C槽是病毒所在，所以可能也造成被加密數量最多。其次是放資料的D跟E，在這兩個磁區的攻擊模式(同步選擇1.資料夾容量最大跟內含檔案數目最多 2.資料夾名稱排序在首位) 另外他會優先加密圖片檔(JPG、PNG)，再來是TXT跟 RAR，而PDF這次只有兩個被加密，再來是微軟檔案一個也沒被加密讓我覺得有點奇怪。預防措施: 聽說防毒現在可以掃到，不過那也是因為發生之後，病毒行為模式被解讀之後的事，所以我們需要一個資料夾監控程式名叫directory monitor，它可以偵測資料夾或檔案的一切變更行為，一但有變更下方會馬上出現氣泡通知，如果你發現你電腦都沒在使用卻一直出現變更通知就要非常小心。至於directory monitor有一些設定技巧 GOOGLE上也都沒有較詳細說明，留待日後有時間會分享設定心得。以上僅供參考! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.233.69.145 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1470048299.A.EED.html