這是上週 2016年4月1日愚人節當天同事幫客戶重新安裝 Windows 7 並安裝驅動後出現的畫面
第一次親眼看到這程式其實有點莫名的興奮!
這半年來看過不下十數次各種中獎的後狀況!
XP 及 Windows7 都會中!
Windows 8 或 Windows 10 目前似乎還沒看到災情
大多是開啟不明信件!或是點擊不明連結!
被加密的檔案類型從最基本的 word excel
慘一點的是 PDF 或 JPG 最慘的連 MP3 都被加密
這次總算有機會自己壓下引信!... (反正才剛剛重灌)
點下去之前 不管如何還是記得先將網路移除... 避免災情擴大
一點下去 "是(Y)" 不得了!乖乖隆滴咚...
桌面上兩個圖檔立刻被改檔名!並且增加各種格式的訊息!
硬碟立刻呈現非常忙碌的狀況...
不過身體的自然反應還是直接拔電源...
等等! 忘了拍照 (而且才剛重灌 沒重要資料)
於是又再度啟動 還好仍會出現上面訊息! (立刻拍照存證!)
仔細看一下照片中的資訊
程式名稱:WMI Commandline Utility
已驗證的發行者:Microsoft Windows
程式位置:"C:\Windows\System32\wbem\WMIC.exe"
shadowcopy delete /nointeractive
通常一般的使用者可能 就是直接 Enter
稍懂英文的使用者看到 已驗證的發行者:Microsoft Windows 也是 Enter
有警覺性的使用者看到 shadowcopy delete 還是手賤 壓下 Enter!哈哈哈!
主機是 HP Pro 3330 Microtower PC
內建系統為 Windows 8 Pro 但重灌 Windows 7 前好像就已經被安裝 XP!
而且沒有保留原始 Windows 8 Pro 還原磁區...
也無所謂... 反正就是先拿 Windows 7 OEM 光碟重新安裝
正常是要跟客戶取得 HP 原本附的 Windows 7還原(修護)光碟... 如果有的話
目前猜測中獎的原因 同事下載了不明網站所提供的驅動程式!
因為 HP原廠提供的驅動程式似乎都無法使用! (希望 HP 看到可以幫忙確定一下)
---
2016.03.17 卡巴目前看起來能掃得到惡意程式! 但如果您執意要開啟... 那就沒辦法了!
這台電腦在進行掃毒之後客戶取回繼續使用!並沒有進行重灌的動作!
因為客戶的OUTLOOK有許多重要資料
加上被加密的 WORD EXCEL檔案都有備份!
客戶運氣不錯! PDF 及客戶個人的照片(JPG) 不在此次加密的範圍內!
已經提醒客戶盡速進行照片的備份!
卡巴也能掃得到 OUTLOOK 中的壓縮檔!
惡意程式 目前似乎還不會對 壓縮檔中的檔案進行加密
