作者 Xavy (グルグル回る) 看板 C_Chat
標題 [閒聊] 有逛日本網頁的最近注意一下綁架病毒
時間 Sun Dec 6 11:36:00 2015
───────────────────────────────────────
http://bylines.news.yahoo.co.jp/mikamiyoh/20151206-00052167/
主要來源是廣告
只要有看到就會中
中了之後副檔名會變vvv,整個鎖住
別人整理比較可能中標的地方
https://images.plurk.com/3tlv7bbQ4SfKAJR0xV3Jy9.jpg
作者 hoyunxian (WildDagger) 看板 C_Chat
標題 Re: [閒聊] 有逛日本網頁的最近注意下綁架病毒
時間 Sun Dec 6 13:11:19 2015
───────────────────────────────────────
→ end81235: 其實我一直很好奇的是,這種會變更檔案的動作,不是會被 12/06 11:54
→ end81235: 現在很流行的那種偵測管理或是uac之類的擋下來嗎? 12/06 11:54
→ end81235: 以前很流行的docomo fw也有這種功能不是? 12/06 11:54
→ end81235: 打錯了,是comodo XD 12/06 11:55
因為這個病毒照目前的描述來看,它不會動到系統檔案
它做的只有這兩件事:
1. 找到你常用的普通檔案(例如mp3/jpg/png/mp4/docx/xlsx等)
2. 用它特有的金鑰進行加密並且上鎖更名成.vvv的檔案
也就是說在這過程中它完全不會動到系統檔案,
而UAC是不動到系統檔案與權限之前它不會彈出來問你要不要給權限的
(不然你每載一個檔案每做一件事都跳出來問你要不要變更什麼的不是煩死了)
這嚴格來說不算是系統漏洞,因為它做的就是背景工作刪修檔案
只是這程式不是使用者手動去啟動它的
(手動啟動應該不少人幹過吧,有一些程式是你給他指令它可以批次改檔名或修圖的)
基本上這應該就只有可以讓使用者自己任意處理檔案的Windows系統容易中
但不是說Mac/Linux不會中,這兩款作業系統不容易中是因為處理檔案的程式碼不一樣
用在Windows上的程式碼在Mac/Linux基本上不通用
手機的話,iOS/Android你不搞JB或ROOT基本上中獎機率超低,
(更別講完全沒人搞翻牆的Windows Phone)
因為手機上這三款作業系統都有設定每個APP只能在自己的環境下運行,
檔案也只能透過特定的共用管道(例如分享、檔案提供器)互動,
基本上不可能在使用者不知情的情況下就擅自處理
所以手機為什麼足以搞出大問題的病毒都還不多就是這原因
(相對來說手機APP的問題經常是你給了太多權限以至於自己的資料被偷)
再次提醒,智慧型手機病毒少這個事實是你沒搞JB與ROOT才適用。
作者 onelife (旺來) 看板 C_Chat
標題 Re: [閒聊] 有逛日本網頁的最近注意下綁架病毒
時間 Tue Dec 8 20:46:04 2015
───────────────────────────────────────
好的,我來分享一下中毒經驗...
我是在上週五中的
電腦平日就開著下載東西,然後下班回家後發現資料幾乎全滅
它加密後會將副檔名改成.vvv,並在每個資料夾都擺上一份勒索文件
勒索文件內容如下
我有看到被加密、沒加密的副檔名:
執行檔 exe,dll,bat 都沒加密
文件 txt,pdf,office各類文件都被加密
js,py被加密
圖檔 jpg,png被加密,bmp,gif沒有
psd,ai被加密,xcf沒有
影音 avi,mp4,flv,wmv被加密,mkv,mpg沒有
mp3,wav也沒有
壓縮檔 zip,rar,7z 被加密,tar沒有
至於加密時間
除了ssd系統碟外,我另有三顆硬碟分別是1T,2T,3T,容量9成滿
從檔案修改時間來看,被加密的時間應該是從周五的下午3點開始持續到9點多
這時仍有部份檔案沒被加密到,可能還沒全部跑完
另外我是上午7點左右離開電腦的,不知為何病毒下午才開始加密
也許有以閒置時間為條件
因為加密過程我人不在,不知道加密時有什麼特徵
例如CPU使用率會不會飆高,或是加密的優先順序之類
但如果在加密初期,你人在電腦前有察覺到異常
那立刻關機應該還能挽回多數檔案
我不清楚這個病毒是不是與日本在討論的一樣
但如果我是在日本網站中標,那比較可能是來自nico
因為我平常有在上的日本網站也就只有nico
另外作業系統是Win7 64bit
中毒前Flash確定已更新到最新,瀏覽器是Firefox,有用ABP
防護只有小紅傘免費版和win內建防火牆,沒有HIPS
作者 Tars (Tars) 看板 C_Chat
標題 Re: [閒聊] 有逛日本網頁的最近注意下綁架病毒
時間 Wed Dec 9 22:53:14 2015
───────────────────────────────────────
今天下午我的備用機也中了這個 最開始是閒置時風扇超大聲覺得異常
發現第一時刻桌面上幾個文件全變.vvv 馬上拔網路線+關機
依照之前看過的一些資訊大部分說是需要連網路才會執行
我又不怕死的在斷網下開機,重開機檢查時還好 目測大概就200個上下 而且風扇聲音正
常了
於是又更好膽的搜尋.vvv看有多少個已經掛掉的
結果半小時後回來看暴增到C+D7萬6 外接16萬 倒是最後添的內接硬碟完全沒事
(我在旁邊玩手機確定風扇聲音還是如常)
好吧 想說反正死都死了來看一下有沒有什麼優先規則好了
畢竟同層資料夾內還不一定是全掛的
結果毫無優先順序可言 中英日法文檔名的檔案都有遭殃的
目前只好翻出光碟準備重灌中
這篇主要還是告訴各位“不是斷網就安全啦”
平台:winows7專業版盒裝正版序號
個人敢保證絕不點網頁廣告和信件連結,主力的firefox和chrome及flash/java每日確認
更新
adb也是兩個瀏覽器必備
目前猜測的可能原因只有下午更新了“mkvtool”和“utorrent
其他原因我也還想不到
這缺德軟體真的防不勝防 還好備用機只存一堆雜物
但真的會讓人不爽啦
今天熱騰騰的體驗給大家參考
作者 aria0520 (紫) 看板 C_Chat
標題 [閒聊] 綁架病毒對策:簡易監控小腳本
時間 Thu Dec 10 21:27:28 2015
───────────────────────────────────────
總之,寫了一個簡單的小腳本
基本概念就是他會每30秒監測C:/1.jpg這個路徑
如果這個路徑消失了(也就是1.jpg被修改)就會強迫關機
例如被改成1.jpg.vvv就會0秒強迫關機
我把腳本放在ntu space可以安心下載(更新ver2.01)
內有兩個檔案:
1.jpg
背景監控用的vbs腳本
如果不放心可以直接右鍵編輯看裡面的程式碼
也可以自行修改,概念很簡單
使用方法直接解壓縮在C槽底下就行
要上網之類的時候就點一下vbs檔,就會開始監控了
佔的資源極小基本上可以忽視
如果要開機自動執行的話也很簡單
win+R 執行gpedit.msc 按電腦設定/windows設定/指令碼(啟動/關機)
把vbs腳本新增進去即可
沒有留言:
張貼留言