請各位小心勒索病毒 CryptoWall

luzibin
個人積分：2184分
文章編號：56233212

2184分

樓主

2015-06-15 8:05

上周三上午我公司電腦所有檔案都能正常運作，下午請假，隔天上午來上班，發現我常用的 EXCEL、WORD、PDF、TXT 、JPG等檔案，不是打開變亂碼，就是無法開啟，然後仔細查看我電腦連線的主機硬碟，只要是有檔案的目錄，全部都有以下這四個檔案：
HELP_DECRYPT.HTML
HELP_DECRYPT.png
HELP_DECRYPT.txt
HELP_DECRYPT

然後點HELP_DECRYPT.txt，就出現以下的文字說明
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048 using CryptoWall 3.0.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.

How did this happen ?
Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1.http://7oqnsnzwwnm6zb7y.payoptionserver.com/

利用有限的英文能力，看來就大事不妙，果然用GOOGLE翻譯一下，我中鏢了，這病毒只能給你免費解一個小於512KB的檔案，其他的檔案只要他有辦法加密，就全部加密，然後刪除原檔案，我問過IT，他說這個病毒有江湖道義，一段時間內只要付相當於500美金的比特幣，他就送你解密程式，超過那段時間，就變成1000美金。我選擇先解開一個小於512KB的檔案，然後剩下的就全送給他，一切重新來過。

這個病毒給我一個教訓，自己辛辛苦苦做的檔案，一定要備份，最好再加密碼保護被複寫，不過我也看開了，如果真的有備份，心中還是要有檔案不見的最壞打算。

"NIKON D200"+"12-24 F4"+"24-70 F2.8"+ "50mm F1.8"+"70-300G VR" +SB800

2015-06-15 8:05 發佈

文章關鍵字病毒 CryptoWall

Mwolf

Mwolf
個人積分：22分
文章編號：56233497

22分

2樓

2015-06-15 8:41

luzibin wrote:上周三上午我公司電腦所有檔案都能正常運作...(恕刪)

還送你解個檔案的優惠

ppanna2003

ppanna2003
個人積分：218分
文章編號：56233653

218分

3樓

2015-06-15 8:54

請教樓主是否有安裝防毒軟體是哪一家的防毒呢??

weRmarshall

weRmarshall
個人積分：0分
文章編號：56233739

0分

4樓

2015-06-15 9:02

請問樓主用甚麼防毒軟體？
無法攔截到嗎？
可以猜測出如何中毒的嗎？

還以為只會在影集中出現

luzibin

luzibin
個人積分：2184分
文章編號：56234861

2184分

樓主

2015-06-15 10:21

ppanna2003 wrote:
請教樓主是否有安...(恕刪)

weRmarshall wrote:
請問樓主用甚麼防毒軟...(恕刪)

因為敝公司電腦使用卡巴斯基，我的PC只是 LINUX系統(屬於終端機)，所有資料都放在公司IT部門的主機裡(目前全公司大約有20台電腦都是直接連到公司那台主機，然後個人的工作資料就放主機的C碟 USER目錄底下的個人工號)，目前我已知該主機至少有3人中標。

公司主機使用 WINDOW Server 2008 R2 Standand 系統

目前發現，只要當時電腦開著的資料沒被感染，放在 C://USER/XXXXX 工號下所有資料全中毒，但MAIL的附件從 OUTLOOK寄出寄來的附檔都沒損壞，公用資料夾的東西也沒壞，我只能慢慢一個一個抓回修復，重要的再加上自己的唯讀密碼後，放進公用資料夾備份。

這件事情我發現，備份真的很重要。如何中毒我真的不知道，因為該主機有連到至少20個同事，我認為應該不是我連到外面網路所造成，但是病發前，我因為要連環保署網站申請文件，該文件需要下載信任憑證，我也請IT部門開啟管理者權限並下載安裝，我只記得這幾周來，我用的公司電腦，就只安裝過這個東西而已。

GOOGLE 該病毒，大概感染的方式為，只要是常用檔案，就幫您加密2048BIT(我猜密碼就是11個英數組合，大概用超級電腦，也要好多時間才解的出)，然後覆蓋原始檔案，因此主機只要當時開著的檔案，他就無法覆寫，所以我常用的EXCEL資料，有4個沒被蓋過去。另外 PNG、BMP檔也沒被加密，目前我已知被加密的檔案格式有 DOC、DOCX、XLS、XLSX、JPG、ZIP、RAR、PDF、PPT、TXT等等，你辛苦做的檔案，就這樣被壞人加密處理了。

"NIKON D200"+"12-24 F4"+"24-70 F2.8"+ "50mm F1.8"+"70-300G VR" +SB800

火疾風

火疾風
個人積分：538分
文章編號：56236033

538分

6樓

2015-06-15 11:34

luzibin wrote:
上周三上午我公司電...(恕刪)

應該有辦法解密巴

http://briian.com/28172/ransomware.html

luzibin

luzibin
個人積分：2184分
文章編號：56236316

2184分

樓主

2015-06-15 11:54

火疾風 wrote:
應該有辦法解密巴http...(恕刪)

謝謝您，但您PO的網址，是不同病毒，無法解我中的2048加密檔案。

CryptoLocker目前有解， CryptoWall 目前無解，除非願意用強大電腦去解密，不然就付500美金。

"NIKON D200"+"12-24 F4"+"24-70 F2.8"+ "50mm F1.8"+"70-300G VR" +SB800

火疾風

火疾風
個人積分：538分
文章編號：56236506

538分

8樓

2015-06-15 12:05

luzibin wrote:
謝謝您，但您PO的...(恕刪)

我的意思是寫這病毒的應該也很懶，解開的方式應該都一樣，找看看有沒有人分享

或是嘗試看看國外大神教學

這有一個cryptowall國外教學，可以試試
http://www.precisesecurity.com/rogue/remove-cryptowall

chunte

chunte
個人積分：56分
文章編號：56236998

56分

9樓

2015-06-15 12:45

該作法只是移除病毒

並無法解開被加密的檔案

只有付錢,不然無解

或許檔案留著,幾十年後,電腦夠快,就可以解出來.

火疾風 wrote:
這有一個cryptowall國外教學，可以試試
http://www.precisesecurity.com/rogue/remove-cryptowall

§如果小弟的回答,您覺得ok,別忘了給分哦!!

HermesParis

HermesParis
個人積分：49588分
文章編號：56237934

49588分

10樓

2015-06-15 13:47

luzibin wrote:
上周三上午我公司電...(恕刪)

這種病毒從哪入侵的?
沒有防毒軟體可擋嗎?