前车之鉴,电脑中招了,应该是勒索病毒。(第一次中还有点小兴奋......)
本帖最后由 丨一灬一丨 于 2022-6-6 17:00 编辑**下班打开电脑发现文件后缀被改了**
- 视频、图片、压缩包 等
如
.wmv .mkv .avi .flv .iso .mov
.zip .rar
.png .jpg
.bak
后缀被改为 .puohoea
- 文档、数据库、代码等,比如.js .doc .db .svg .php .dwg
后缀被改为.tghhfdd
**病毒还在个别目录留下了ReadME.htm 的文件,被加密了。并且打开时会联网,应该是向勒索软件的服务器获取数据。**
!(https://fastly.jsdelivr.net/gh/codemonkeyBeginner/ImageBed/img/勒索/readme截图.png)
!(https://fastly.jsdelivr.net/gh/codemonkeyBeginner/ImageBed/img/勒索/readMe代码.png)
***[病毒ReadMe 密码:ei5m](https://wwu.lanzoul.com/b00psj8kb)***
**用Everything搜了一下
.tghhfdd 的修改时间是在5月28号 14:58 ~18:07
.puohoea 的修改时间是在5月28号 16:16 ~22:10**
###### 时间太久了早忘了28号那天我干啥了。看了下控制面板有两个名为installer的程序是28号装的很可疑。
右键单击更改/卸载,立马弹出一堆命令行窗口一闪即逝。火绒病毒防护弹出 “发现病毒Trojan/W64.Injector.y”
之后我的oneDrive 就不停地弹出“XX文件被删除...”的窗口。
那病毒就是这俩 installer 没跑了。我按照火绒提示的病毒路径找过去,是个空文件夹。可能被火绒隔离了吧。不知道怎么把他俩本体弄出来,有想研究的可以告诉我怎么搞。
```
【1】2022-06-05 17:16:18,病毒防护,文件实时监控,发现病毒Trojan/W64.Injector.y, 已处理
病毒名称:Trojan/W64.Injector.y
病毒ID:1A8B87E79D1762B0
病毒路径:C:\Windows\Installer\MSI4DF9.tmp
操作类型:执行
操作结果:已处理
进程ID:17368
操作进程:C:\Windows\System32\msiexec.exe
操作进程命令行:C:\Windows\System32\MsiExec.exe -Embedding C778FCEF46F1BB15A08F65249947E019
父进程:C:\Windows\System32\msiexec.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
【2】2022-06-05 17:14:51,病毒防护,文件实时监控,发现病毒Trojan/W64.Injector.y, 已处理
病毒名称:Trojan/W64.Injector.y
病毒ID:1A8B87E79D1762B0
病毒路径:C:\Windows\Installer\MSIF4C0.tmp
操作类型:执行
操作结果:已处理
进程ID:19276
操作进程:C:\Windows\System32\msiexec.exe
操作进程命令行:C:\Windows\System32\MsiExec.exe -Embedding 22805154279AE3F9D6850D302F5896BD
父进程:C:\Windows\System32\msiexec.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
```
我25号刚做完系统,并且更新到最新版。现在电脑非常干净。我不明白他是怎么装我电脑上的,完全没有印象。
!(https://fastly.jsdelivr.net/gh/codemonkeyBeginner/ImageBed/img/勒索/windows更新.png)
我又查了下 C:\Windows\System32\msiexec.exe 发现是windows更新的程序。难道病毒伪装成了windows更新程序?
但我做完系统更新windows的时间是25号凌晨呀。28号应该没更新过呀。
我的个人文件有一部分存在了oneDrive大多是工作文件,不过很多个人文件考虑到隐私没同步到oneDrive,倒不怕他给我加密。其他硬盘有一些源码和教程视频被加密了还可以重新下。
不过很多年的手机照片一直备份在电脑,现在被勒索病毒加密了很难受,后悔之前一直懒得做准备数据冷备份。这回算是吃了大亏了。
###### 火绒扫描了3小时了也没发现那俩Installer病毒,反倒把我好久之前下的源码和破解工具报毒了。现在我准备做系统,但是只做C盘有效么,病毒不一定只在系统盘存在吧。
做系统的话,那些被加密的文件正常保存可以吗,我想有一天这个病毒被破解了还可以恢复回来。
---
刚才逛[火绒论坛](https://bbs.huorong.cn/thread-106221-1-1.html)的时候看到了一个帖子,我突然就想起来了。
应该是我做完系统之后。装IDM的时候带过来的病毒,[是个俄罗斯网站](https://lrepacks.ru/)。这个站只要点击下载按钮就会后台弹出窗口并下载 xxx.msi 文件,不过他是怎么安装到我电脑上的我还不知道。
我不能肯定就是这个站让我电脑中毒,毕竟过去好多天了记不清了。
不过还没中招的小伙伴们,还是尽量远离这个站吧***(https://lrepacks.ru/)***
**还有火绒建议关闭高危端口 3389, 445, 135, 139, 5900 等。虽然我现在再关闭属于亡羊补牢,但还是在这给没中招的小伙伴提个醒。**
应该是下老毛子的软件时点那些下载链接时带的毒吧,国外那些下载站不知道有什么毛病,那个download按钮第一遍点一定不是真的链接,再点才会有真链接(可能这也是老外多用磁链的原因之一吧{:1_925:}) 青春易逝 发表于 2022-7-22 20:43
一直在用lrepacks.ru 破解软件没有问题,不过还是注意点,下下来第一时间杀毒再用。
我也刚下了最新版,6.41.3……你们说的我有点怕怕…… gitee 图床 公开仓库需要审核。。。。。我说怎么图都是碎的 2号凌晨我这的服务器也中招了。:rggrg。还好系统有备份。直接还原了前一天的数据。可惜有一个盘没备份的文件不行了。{:1_908:}都不知道怎么中的招 备份是关键 我见过类似的毒。是伪装成windows installer的msi文件 idm的破解版最好是不要用啊,因为一般这种软件破解者是俄罗斯人,都是很厉害的逆向黑客。 本帖最后由 青春易逝 于 2022-7-22 20:47 编辑
一直在用lrepacks.ru 破解软件没有问题,不过还是注意点,下下来第一时间杀毒再用。 怎么办我也中了,文件格式变olfg了 这么恐怖的吗????我都不敢用了,刚下了最新版,安装完了,但是刚下完之后电脑就报有病毒什么的…………我还以为是报错了……………………
页:
[1]
2