sjenator
個人積分：113分
文章編號：80224215

113分

21樓

2020-12-22 16:37

基本上只要有接上電腦都有風險
一般來講，我自己遇到有問題的硬碟會找台電腦，拔掉內接硬碟用xpe開機(最好是光碟版的)
然後進去後確認是否正常，把要的資料依序複製走，不能偷懶一次全複製，會順便把病毒在備份起來
然後電腦關機，找另一台資料是否正常，然後就把有問題硬碟FORMAT(建議是找低階格式化軟體)，
有遇過那種FORMAT清不乾淨的

要防止勒索病毒的方式不能關閉UAC功能，就是你執行軟體時有時候會跳一個警告視窗問你要不要允許。
這功能不關閉至少能擋掉7成左右中毒機率。(當然看都沒看就點允許的例外)

kobebeef

kobebeef
個人積分：1859分
文章編號：80224948

1859分

22樓

2020-12-22 17:37

hankchueh wrote:
1.筆電X的檔案被加密的時間有兩個區間，好像就對應出門兩次用安全模式上網的時候，但是上網也沒去什麼奇怪的網站，所以是病毒早就潛伏在系統，安全模式的時候跑出來作祟?(安全模式使用時系統防護力比較弱?)

我想你會錯意安全模式的用途
安全模式並不代表你電腦做任何事都很安全
而僅是讓你安全的進入系統而以

是用於電腦因為軟體衝突或者硬體驅動有問題時
無法正常登入系統才進安全模式移除軟體或移除驅動的
但你居然用安全模式+上網功能
用安全模式還到處亂逛網站幫不了你

如果是在家裸體就算了
不就等同於你不怕肺炎病毒
還裸體出國的意思嗎
不用飛到疫情嚴重的國家
在飛機上就直接被感染了

至於被感染且加密的檔案
別奢想免費救回來了
現在的勒索病毒早就不是當初的勒索病毒
已經變異威力更強
就如同現在的武漢肺炎早已突變
感染力增強70%
各家的防毒軟體商也早就放棄研究救回檔案的方法

當初防毒軟體廠為何提供解密方案
是因為勒索病毒剛出現時
某知名國產防毒軟體出包
為了挽救客戶對防毒軟體的信任才做的
但也無法保證能救回來

加密後的檔案就刪除吧
建議系統重灌+安裝防毒軟體
建議裝卡巴斯基比較有效
別再搞安全模式+上網功能了

hankchueh

hankchueh
個人積分：8分
文章編號：80226672

8分

樓主

2020-12-22 20:50

l16974536 wrote:
看起來關鍵在你家的路...(恕刪)

但那陣子也有家人用其他筆電經過同一台無線基地台上網，並沒中獎

Dinjapc wrote:
1.掏寶的來源你如...(恕刪)

病毒直接從淘寶來的可能性當然不是沒有，不過這賣家我不是第一次跟他買了，之前的筆電使用上並沒問題(也是收到後不久就重灌了，但那時重灌之前並無異狀，而且時間也隔很久了，若有病毒在那時就同樣藉著外接硬碟流竄長期潛伏到現在才發作，感覺有點離奇)，加上Z上的檔案被修改的時間晚於X，所以我才想問是否有共用硬碟被傳染的可能。

我一拿到筆電Z就先做了系統備份，所以圖裡面的帳號設定跟掃到的zip檔案應該就是C槽原本的樣子。當然還原完再掃毒是有點怪，這減低了抓到兇手的可能，但當時有點慌亂，怕再波及到別處，就先這樣做了。D大提到資源回收桶內的檔案是有點可疑，現在也只能整個硬碟都提前先format重灌了

不過有網友提醒我才想到，我是用微軟官方安裝win10工具製作usb去重灌的，雖然是在進系統前先以usb開機，但該不會這樣就也感染這支usb隨身碟了吧orzorz

fotumbra wrote:
若沒有防護,一接上去...(恕刪)

讓人不解的是，筆電X跟Z災情都是所有槽都有檔案被加密到，共用過的硬碟Y卻沒事，是接上的時間不夠長不足以讓其完成加密?(但之前當然有被長時間接著用過)，另外Y硬碟是GPT分割，那仍有可能如D大所言是一種無檔案攻擊嗎?真是防不勝防

chiyenms

chiyenms
個人積分：9509分
文章編號：80226819

9509分

24樓

2020-12-22 21:09

hankchueh wrote:
讓人不解的是，筆電X跟Z災情都是所有槽都有檔案被加密到，共用過的硬碟Y卻沒事，是接上的時間不夠長不足以讓其完成加密?(但之前當然有被長時間接著用過)，另外Y硬碟是GPT分割，那仍有可能如D大所言是一種無檔案攻擊嗎?真是防不勝防

推測這個無濟於事

基本上是判定你有接觸到的東西，或是處理方式中
哪些可能是危險源
就好。

不是說你找到這次的兇手 A 是誰，把這次的兇手 A 擋掉就沒事
這次並不是從 A 管道以外的地方進來，不代表 A 管道以外的路徑就是安全的
其他的門還是開開的，等你隨時竄進去交換檔案

hankchueh

hankchueh
個人積分：8分
文章編號：80226937

8分

樓主

2020-12-22 21:21

kobebeef wrote:
我想你會錯意安全模式...(恕刪)

這部分我的確不夠理解，不過當天外出後發現只能以安全模式使用時就只是應急的用了一下。起初我也以為是安全模式惹的禍，但這無法解釋另一台筆電Z也中獎。上的網站不同，上網地點也不同(X在外面，Z在家裡，Z上網時是正常模式，這樣能中同個病毒也太巧了)，而X中毒後就沒在連結其他硬碟使用，感覺對不太上

之前版上其他文章有網友提供一個勒索病毒查詢網站，這病毒已有幾年歷史，網站有提供解密工具的資訊連結，不過下載後用了也沒成功復原
https://twitter.com/demoslay335/status/1034577624197210113

hankchueh

hankchueh
個人積分：8分
文章編號：80227127

8分

樓主

2020-12-22 21:45

chiyenms wrote:
推測這個無濟於事

...(恕刪)

現在就是不曉得病毒真身在哪裡，是不是還潛伏在某處，怕哪天其他設備又莫名其妙的中獎

但這種攻擊方式如大家討論的似乎又不那麼傳統，很討厭

Dinjapc

Dinjapc
個人積分：1202分
文章編號：80227508

1202分

27樓

2020-12-22 22:26

hankchueh wrote:
現在就是不曉得病毒真(恕刪)

1.說過了這不是病毒,備份你的可用資料然後重新分割重新安裝系統包含你的外接硬碟已經不只我一人和你講這個問題!!
你的資料要怎樣移走，不要問我這不是你提問的重點

2.不要信任任何前人給你的系統軟體除非他來自原廠如果要重建7
請參考我方的帖子我說過了,正版的系統不會有maxdos9的鬼東西

ECSS10年前的第一堂課妳們的還原備份 "只是把休眠的馬兒再放出來奔跑而已"

或者你不信我的,請自行找原廠重建系統,10 也是一樣的方式。請不要用升級來取代重灌系統

安裝好系統，務必建立登入密碼最好要加符號，如果你不想要隱藏共享被人看光的話!!

所有微軟系統包含伺服器預設只要是原版系統就是所有硬碟的根目錄都是共享

W7原版每次開機都會共享系統目錄
每個硬碟的根目錄所以不要再談甚麼區網設計你會和人合資購車?購房多妻? 你家房契怎不讓我保管?

而且7以下無法取消共享！

這樣你知道137-445為何不能絕對開了吧,不要相信甚麼免密碼登入,你只是在讓網路掃描的蠕蟲有機可趁。

如果不會pe碟製作請出錢或者請原廠做當然PE也有風險
(台灣有個大學生會做會機器人大賽 GOOGLE第一頁就有,網誌4個中文字的名子)

到你驅動上裝完成之前不要連接網路也不要相信超商或旅館的網路
看我寫的文的人自然知道有毒旅館的APT 6年前就出現了
如果不再分享器的網路內,請去研究如何用手機usb有線上網。
都做完，再來找我

請記住當共享資源被攻破時，唯一能拖延的只有密碼長度而已。什麼防毒什麼牆都不再有用因為已入膏與肓

防毒軟體的第二謊言是
MAX DOS9.2 告訴你他是個木馬,而當你這隻馬兒奔跑了
開始執行任務了 9成的防毒軟體根本無法釋放後找出真身來

包含很多叫駭客工具或者是下載器的檔案都是這樣他確實警告了你
但這些工具有其他小動作時,很多防毒是啞火包含卡巴和本人的糖尿病一樣不可逆!

最後只能在進廠一次!

共用硬碟有可能傳染勒索病毒嗎?

所有微軟系統包含伺服器預設只要是原版系統就是所有硬碟的根目錄都是共享