• 5

關於 勒索程式 的經驗 2015.10-2016-04


這是上週 2016年4月1日愚人節當天同事幫客戶重新安裝 Windows 7 並安裝驅動後出現的畫面
第一次親眼看到這程式其實有點莫名的興奮!

這半年來看過不下十數次各種中獎的後狀況!
XP 及 Windows7 都會中!
Windows 8 或 Windows 10 目前似乎還沒看到災情
大多是開啟不明信件!或是點擊不明連結!

被加密的檔案類型從最基本的 word excel
慘一點的是 PDF 或 JPG 最慘的連 MP3 都被加密

這次總算有機會自己壓下引信!... (反正才剛剛重灌)
點下去之前 不管如何還是記得先將網路移除... 避免災情擴大
一點下去 "是(Y)" 不得了!乖乖隆滴咚...
桌面上兩個圖檔立刻被改檔名!並且增加各種格式的訊息!
硬碟立刻呈現非常忙碌的狀況...
不過身體的自然反應還是直接拔電源...
等等! 忘了拍照 (而且才剛重灌 沒重要資料)
於是又再度啟動 還好仍會出現上面訊息! (立刻拍照存證!)

仔細看一下照片中的資訊

程式名稱:WMI Commandline Utility
已驗證的發行者:Microsoft Windows
程式位置:"C:\Windows\System32\wbem\WMIC.exe"
shadowcopy delete /nointeractive

通常一般的使用者可能 就是直接 Enter
稍懂英文的使用者看到 已驗證的發行者:Microsoft Windows 也是 Enter
有警覺性的使用者看到 shadowcopy delete 還是手賤 壓下 Enter!哈哈哈!


主機是 HP Pro 3330 Microtower PC
內建系統為 Windows 8 Pro 但重灌 Windows 7 前好像就已經被安裝 XP!
而且沒有保留原始 Windows 8 Pro 還原磁區...
也無所謂... 反正就是先拿 Windows 7 OEM 光碟重新安裝
正常是要跟客戶取得 HP 原本附的 Windows 7還原(修護)光碟... 如果有的話

目前猜測中獎的原因 同事下載了不明網站所提供的驅動程式!
因為 HP原廠提供的驅動程式似乎都無法使用! (希望 HP 看到可以幫忙確定一下)
---
2016.03.17 卡巴目前看起來能掃得到惡意程式! 但如果您執意要開啟... 那就沒辦法了!



這台電腦在進行掃毒之後客戶取回繼續使用!並沒有進行重灌的動作!
因為客戶的OUTLOOK有許多重要資料
加上被加密的 WORD EXCEL檔案都有備份!
客戶運氣不錯! PDF 及客戶個人的照片(JPG) 不在此次加密的範圍內!
已經提醒客戶盡速進行照片的備份!
卡巴也能掃得到 OUTLOOK 中的壓縮檔!
惡意程式 目前似乎還不會對 壓縮檔中的檔案進行加密
貓.電腦.不思議
2016-04-04 19:56 發佈
包含 惡意程式 的信件大多看起來像是正式的英文報價文件
而且是以壓縮檔的形式 藏在其中
收到不明寄件者的來信特別是含壓縮檔附件的建議都不要去點選!
2016.03.17 那位客戶其實平常是很有警覺性的!
不明寄件者的信件他一般是不會去開啟!
這次中獎的這三封信件!是他的上司轉寄給他的... 已查證確認!
但他上司並沒有開啟壓縮檔!所以災情並沒有擴大!(不知者無罪)



貓.電腦.不思議
請問~電腦有兩顆獨立硬碟,一顆是做系統專用C碟,另一顆是專做存放資料D碟,假如很不幸中了勒索程式,請問存放資料D碟會被鎖嗎?
還是只要C碟格式化後重灌就可以或兩顆都要格式化~
感謝您的資訊分享,勒索病毒真的是太惡毒了。

一直以來,我都覺得e-mail的系統有個很大的缺陷,

就是收信端看到的寄件人姓名,是對方輸入的,換句話說,我設定名字叫馬英九,

寄信給你,你收到之後,就會顯示寄信人是馬英九,

所以很容易誤判對方是認識的人,我就曾經上過一次當,以為是我的朋友寄的,點了不明連結,幸好沒事。

系統應該設計成像手機那樣,由對方的e-mail address,然後對照收信端這邊的通訊錄,然後顯示對應的姓名才對。

當然我不知道e-mail是否可以像手機那樣偽造來電號碼就是了。

不管如何,以後遇到這種要對話框,真的要再三確認了。

ovonel wrote:
請問~電腦有兩顆獨...(恕刪)


目前看到的案例都是全中!
甚至包括連接上的 USB 儲存裝置!
(當然也有可能是 USB 儲存裝置帶回給主機)

不過網路磁碟機 或是 NAS 這部分倒還沒見到災情...

不明郵件 網頁 連結 程式 不去點擊!才是最重要的

目前只看到 XP 及 Windows 7 會中
讓我覺得 或許是 微軟 另一種 推 Windows 10 的方式?
貓.電腦.不思議
雖然 這是一個不希望發生的事件

不過 確讓使用者了解資料備份的重要

當你沒備份自己的資料 表示資料不重要

跟資料揮揮手吧 實在沒啥好說的

卡巴斯基的行為監控應有攔下
稍微爬了一下WMIC.exe
這支應該是微軟正常的工具
檔案應該不是被經過偽造
只是被批次寫入執行了刪除陰影備份
和背後執行了其他的病毒
這招實在很陰險 用微軟工具來弄你
看來微軟的UAC的確是有發揮到一些作用

但是應該不是單純因為WMIC.exe就整個被加密
再點郵件病毒的當下就已經中招了

樓主有把病毒檔案上傳到病毒檢測網站嗎?
很好奇現在有多少防毒掃的到

kyo6347 wrote:
這是上週 2016..這是上週 2016年4月1日愚人節當天同事幫客戶重新安裝 Windows 7 並安裝驅動後出現的畫面
第一次親眼看到這程式其實有點莫名的興奮!

這半年來看過不下十數次各種中獎的後狀況!
XP 及 Windows7 都會中!
Windows 8 或 Windows 10 目前似乎還沒看到災情
大多是開啟不明信件!或是點擊不明連結!

被加密的檔案類型從最基本的 word excel
慘一點的是 PDF 或 JPG 最慘的連 MP3 都被加密

這次總算有機會自己壓下引信!... (反正才剛剛重灌)
點下去之前 不管如何還是記得先將網路移除... 避免災情擴大
一點下去 "是(Y)" 不得了!乖乖隆滴咚...
桌面上兩個圖檔立刻被改檔名!並且增加各種格式的訊息!

硬碟立刻呈現非常忙碌的狀況....(恕刪)



----------------------------------------------------------

有點搞不懂這段話!?

為何知道有問題?還要點yes呢???
kyo6347 wrote:

這是上週 2016年4月1日愚人節當天同事幫客戶重新安裝 Windows 7 並安裝驅動後出現的畫面
第一次親眼看到這程式其實有點莫名的興奮!

這半年來看過不下十數次各種中獎的後狀況!
XP 及 Windows7 都會中!
Windows 8 或 Windows 10 目前似乎還沒看到災情
大多是開啟不明信件!或是點擊不明連結!

被加密的檔案類型從最基本的 word excel
慘一點的是 PDF 或 JPG 最慘的連 MP3 都被加密

這次總算有機會自己壓下引信!... (反正才剛剛重灌)
點下去之前 不管如何還是記得先將網路移除... 避免災情擴大
一點下去 "是(Y)" 不得了!乖乖隆滴咚...
桌面上兩個圖檔立刻被改檔名!並且增加各種格式的訊息!
硬碟立刻呈現非常忙碌的狀況...
不過身體的自然反應還是直接拔電源...
等等! 忘了拍照 (而且才剛重灌 沒重要資料)
於是又再度啟動 還好仍會出現上面訊息! (立刻拍照存證!)

仔細看一下照片中的資訊

程式名稱:WMI Commandline Utility
已驗證的發行者:Microsoft Windows
程式位置:"C:\Windows\System32\wbem\WMIC.exe"
shadowcopy delete /nointeractive

通常一般的使用者可能 就是直接 Enter
稍懂英文的使用者看到 已驗證的發行者:Microsoft Windows 也是 Enter
有警覺性的使用者看到 shadowcopy delete 還是手賤 壓下 Enter!哈哈哈!


主機是 HP Pro 3330 Microtower PC
內建系統為 Windows 8 Pro 但重灌 Windows 7 前好像就已經被安裝 XP!
而且沒有保留原始 Windows 8 Pro 還原磁區...
也無所謂... 反正就是先拿 Windows 7 OEM 光碟重新安裝
正常是要跟客戶取得 HP 原本附的 Windows 7還原(修護)光碟... 如果有的話

目前猜測中獎的原因 同事下載了不明網站所提供的驅動程式!
因為 HP原廠提供的驅動程式似乎都無法使用! (希望 HP 看到可以幫忙確定一下)
---
2016.03.17 卡巴目前看起來能掃得到惡意程式! 但如果您執意要開啟... 那就沒辦法了!




這台電腦在進行掃毒之後客戶取回繼續使用!並沒有進行重灌的動作!
因為客戶的OUTLOOK有許多重要資料
加上被加密的 WORD EXCEL檔案都有備份!
客戶運氣不錯! PDF 及客戶個人的照片(JPG) 不在此次加密的範圍內!
已經提醒客戶盡速進行照片的備份!
卡巴也能掃得到 OUTLOOK 中的壓縮檔!
惡意程式 目前似乎還不會對 壓縮檔中的檔案進行加密

這支WMIC是正常的
都不知道按過幾次了
明明就有憑證可以驗
真是躺著也中槍
最好勒索病毒還要問你才能勒索你
把握當下、愛要即時;勿以惡小而為之、勿以善小而不為。
  • 5
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結