前车之鉴，电脑中招了，应该是勒索病毒。(第一次中还有点小兴奋......)

丨一灬一丨 · 发表于 2022-6-5 19:25

本帖最后由丨一灬一丨于 2022-6-6 17:00 编辑

下班打开电脑发现文件后缀被改了

视频、图片、压缩包等
如
.wmv .mkv .avi .flv .iso .mov
.zip .rar
.png .jpg
.bak
后缀被改为 .puohoea
文档、数据库、代码等，比如.js .doc .db .svg .php .dwg
后缀被改为 .tghhfdd

病毒还在个别目录留下了ReadME.htm 的文件，被加密了。并且打开时会联网，应该是向勒索软件的服务器获取数据。
readMe截图
readMe代码

病毒ReadMe 密码:ei5m

用Everything搜了一下
.tghhfdd 的修改时间是在5月28号 14:58 ~ 18:07
.puohoea 的修改时间是在5月28号 16:16 ~ 22:10

时间太久了早忘了28号那天我干啥了。看了下控制面板有两个名为installer的程序是28号装的很可疑。

控制面板
右键单击更改/卸载，立马弹出一堆命令行窗口一闪即逝。火绒病毒防护弹出 “发现病毒Trojan/W64.Injector.y”
之后我的oneDrive 就不停地弹出“XX文件被删除...”的窗口。

那病毒就是这俩 installer 没跑了。我按照火绒提示的病毒路径找过去，是个空文件夹。可能被火绒隔离了吧。不知道怎么把他俩本体弄出来，有想研究的可以告诉我怎么搞。

【1】2022-06-05 17:16:18,病毒防护,文件实时监控,发现病毒Trojan/W64.Injector.y, 已处理

病毒名称：Trojan/W64.Injector.y
病毒ID：1A8B87E79D1762B0
病毒路径：C:\Windows\Installer\MSI4DF9.tmp
操作类型：执行
操作结果：已处理

进程ID：17368
操作进程：C:\Windows\System32\msiexec.exe
操作进程命令行：C:\Windows\System32\MsiExec.exe -Embedding C778FCEF46F1BB15A08F65249947E019
父进程：C:\Windows\System32\msiexec.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2022-06-05 17:14:51,病毒防护,文件实时监控,发现病毒Trojan/W64.Injector.y, 已处理

病毒名称：Trojan/W64.Injector.y
病毒ID：1A8B87E79D1762B0
病毒路径：C:\Windows\Installer\MSIF4C0.tmp
操作类型：执行
操作结果：已处理

进程ID：19276
操作进程：C:\Windows\System32\msiexec.exe
操作进程命令行：C:\Windows\System32\MsiExec.exe -Embedding 22805154279AE3F9D6850D302F5896BD
父进程：C:\Windows\System32\msiexec.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

我25号刚做完系统，并且更新到最新版。现在电脑非常干净。我不明白他是怎么装我电脑上的，完全没有印象。
windows更新时间
我又查了下 C:\Windows\System32\msiexec.exe 发现是windows更新的程序。难道病毒伪装成了windows更新程序？
但我做完系统更新windows的时间是25号凌晨呀。28号应该没更新过呀。

我的个人文件有一部分存在了oneDrive大多是工作文件，不过很多个人文件考虑到隐私没同步到oneDrive，倒不怕他给我加密。其他硬盘有一些源码和教程视频被加密了还可以重新下。

不过很多年的手机照片一直备份在电脑，现在被勒索病毒加密了很难受，后悔之前一直懒得做准备数据冷备份。这回算是吃了大亏了。

火绒扫描了3小时了也没发现那俩Installer病毒，反倒把我好久之前下的源码和破解工具报毒了。现在我准备做系统，但是只做C盘有效么，病毒不一定只在系统盘存在吧。

火绒扫描结果

做系统的话，那些被加密的文件正常保存可以吗，我想有一天这个病毒被破解了还可以恢复回来。

刚才逛火绒论坛的时候看到了一个帖子，我突然就想起来了。
应该是我做完系统之后。装IDM的时候带过来的病毒，是个俄罗斯网站。这个站只要点击下载按钮就会后台弹出窗口并下载 xxx.msi 文件，不过他是怎么安装到我电脑上的我还不知道。
站点弹出页面
我不能肯定就是这个站让我电脑中毒，毕竟过去好多天了记不清了。
不过还没中招的小伙伴们，还是尽量远离这个站吧ttps://lrepacks.ru

还有火绒建议关闭高危端口 3389, 445, 135, 139, 5900 等。虽然我现在再关闭属于亡羊补牢，但还是在这给没中招的小伙伴提个醒。

CyberW · 发表于 2022-10-12 16:57

应该是下老毛子的软件时点那些下载链接时带的毒吧，国外那些下载站不知道有什么毛病，那个download按钮第一遍点一定不是真的链接，再点才会有真链接（可能这也是老外多用磁链的原因之一吧

）

Crazyespoir · 发表于 2022-11-12 02:40

青春易逝发表于 2022-7-22 20:43
一直在用lrepacks.ru 破解软件没有问题，不过还是注意点，下下来第一时间杀毒再用。

我也刚下了最新版，6.41.3……你们说的我有点怕怕……

丨一灬一丨 · 发表于 2022-6-5 19:52

gitee 图床公开仓库需要审核。。。。。我说怎么图都是碎的

dswuying · 发表于 2022-6-6 16:12

2号凌晨我这的服务器也中招了。

。还好系统有备份。直接还原了前一天的数据。可惜有一个盘没备份的文件不行了。

都不知道怎么中的招

flyjerry · 发表于 2022-6-7 10:09

备份是关键

skeleta · 发表于 2022-6-7 14:40

我见过类似的毒。是伪装成windows installer的msi文件

AidenKali · 发表于 2022-7-18 22:19

idm的破解版最好是不要用啊，因为一般这种软件破解者是俄罗斯人，都是很厉害的逆向黑客。

青春易逝 · 发表于 2022-7-22 20:43

本帖最后由青春易逝于 2022-7-22 20:47 编辑

一直在用lrepacks.ru 破解软件没有问题，不过还是注意点，下下来第一时间杀毒再用。

猫猫64 · 发表于 2022-10-25 10:36

怎么办我也中了，文件格式变olfg了

Crazyespoir · 发表于 2022-11-12 02:38

这么恐怖的吗？？？？我都不敢用了，刚下了最新版，安装完了，但是刚下完之后电脑就报有病毒什么的…………我还以为是报错了……………………

帐号		自动登录	找回密码
密码			注册[Register]