修水電的賢

星期五時公司有台XP中了此病毒,嚴格來說是分公司

一開始是有人哀嚎FILE SERVER檔案打不開

一看不得了 SERVER的檔案被加密了= =

以下在公司的緊急作法 供參考 你不確定公司幾百台電腦哪台或誰中的話

1.先把FILE SERVER跟有開檔案可讀寫分享的全部關機 或網路線先斷掉

很重要

這病毒很無賴 會找區網該使用者帳號內有"權限"有開分享能進的資料夾他都會進去改

也就是別台電腦開分享的資料夾也會中標 

中毒的電腦有特徵 會變很慢 因為在跑加密 然後本機的檔案會被更改

所以要找中毒的電腦 找本機有被改的

所以平時權限要設好 盡量不要有重要東西在大家都能進的資料夾

這樣損失也只有"該USER能進"的資料夾

你說好死不死他是主管咧 那你就要拜拜重要東西都有備份到了= =

2.找中毒的電腦 找到記得先拔他網路線 避免在區網內惡搞 

請直接去找本機有加上副檔名.encrypted的電腦

有檔案變樣子 打不開 就是中了

中的那一台USER不知道怎樣中的

我去他電腦看時

桌面及硬碟檔案已經都被加上副檔名.encrypted

USER表情:TT

IE會連上中國網站

我推測是上網時被惡意安裝的

該台有裝防毒軟體

請不要再鐵齒說軟體不用更新了

我不確定XP是否能再戰十年

但是以下軟體更新 不亂上網 我相信十年沒問題

以下四樣東西請按時檢查

a.舊版Java、
b.舊版Adobe Reader、
c.舊版Adobe Flash Player、
d.沒有將Windows Update更新到最新。

最後 來路不明的網站或連結請不要隨便亂點

我推測這東西應該是用垃圾信或上網時偷偷安裝元件達成讓防毒略過

7/5更新 狀況已排除 但目前我還在找解密的方法中....要幫USER救資料

已試過方式:拿救援軟體掃出來的資料也是被加密的 舊版病毒可以從資源回收桶救檔案的方式確定沒辦法

你只能選擇回復系統到舊的時間點.....至少有舊版的資料

11/14補充:

七月那次中毒 我的作法是 因為USER電腦已經在跑加密 請立馬直接關機

你在解毒的時間他加密還在跑 為了減低損失 馬上關機

把中毒的硬碟拆下來 拿到別台當第二顆硬碟"到別台掃毒 到別台掃毒" 別再用那顆硬碟開機

別再繼續用那台 因為他會在背景跑加密 每次重開機會自己啟動 掃毒要用深層掃一次 當時掃到一些EXE的暫存檔&登錄檔 砍掉以後就沒事了 裝回去先不要插網路線開機 確定沒奇怪東西在跑

在插網路 要小心處理 不然改到公司file server可能會變大災難

已經有不少例子是沒做備份 或太久 改了就回不去了

現在11月的版本我沒中過 所以不知道現在如何

七月那次的版本是不用重灌的 清乾淨即可繼續用

被加密的檔案不影響 留著當紀念= =a

也許某天有強者開發出工具可以破他的加密 到時檔案可以解出來

應該幾十年後了吧....

補充給各位苦命的mis同仁:

針對這個病毒目前沒有100%特別有效的防治方法

除非你公司電腦都不開上網

但是知道他的特性 我們只能針對

1."公司有開多人區網分享的資料夾 及雲端同步的資料 特別多備份幾份" 

2.user帳號要小心權限是否能將file都讀寫 

user個人在電腦上資料我只能說無解 我碰到的case user 檔案都差不多全毀

我遇到的是確定win7 & xp都會中毒

"系統的陰影備份會拖慢速度 只能暫時還是要開大 時間點設久一點 中毒時可以選擇回復系統到舊備份的時間救一些pc的舊資料回來"

201607補充:

對於某些版本的加密病毒 目前有金鑰可解 請參考另一篇:

勒索病毒TeslaCrypt 可能有解了-ESET發布最新解密工具

請見這個網頁: 

http://www.eset.tw/html/182/20160627/

請有解密成功的人也回報一下 謝謝~~~~