最近有親友的電腦中了新種勒索病毒,文件檔被加密,副檔名改為 .ficndzauw。Google了一下,只有幾筆相關資料,看起來是新型的病毒。
程序名稱: 不明
感染方式: 不明
電腦平台: Win 7 64 bits
發病日期: 2018/8/11
特徵: jpg、pdf、zip、office等各種文件檔,以及少數的影片檔被加密,副檔名為.ficndzauw。被感染的文件目錄會產生readme.txt裡面說明你的檔案被綁架,要下載 Tor 瀏覽器並拜訪專屬網址,但也可以用一般瀏覽器瀏覽暫時網址。系統能正常使用,也不會綁架網頁,只會在背景默默的加密檔案,所以等發現時已經到處感染,包括雲端硬碟。
這類的勒索病毒為了不被使用者發現,通常都是將原始檔案複製一份後加密並更名,然後刪除原始檔案,所以把硬碟拆到別台電腦使用反刪除軟體,可以救回尚未被複寫的資料。如果是雲端空間如 Onedrive、Google Drive之類,可以在30天內到垃圾桶裡把被刪除的檔案找回來。
正在救援檔案中,如果有新的進展再上來更新。
付贖金網頁,開啟網頁之後就開始計時,所以不要去點開比較好。 XDD
sazabi01 wrote:
最近有親友的電腦中...(恕刪)
Windows 7 系統,
是不是系統沒有保持更新的習慣、上網通常使用 IE 瀏覽器、
防毒軟體只用微軟的 MSE 或者根本沒安裝防毒 ?
其實你中的勒索病毒並沒有多新,名稱叫做 Magniber Ransomware,
已經在網路上隨機肆虐很久了。
Magniber 有個特點,就是檔案被綁架勒索後,
副檔名會是隨機產生的。
所以透過 Google 或者其他搜尋引擎試圖搜尋附檔名的關鍵字,
基本上是找不太到資料的。
Magniber 最初似乎是在 2017 年 10 月就開始出現,只是近期(約 2018/05) 開始,
Magniber 作者稍為改版後,改變攻擊的對象。
(有部分資安廠商將新版的 Magniber 改稱作 " Magnitude ")
一開始先針對南韓攻擊,後來範圍擴大,
開始朝 中文、韓文或是馬來西亞語的地區攻擊,
像是 澳門、新加坡、中國、臺灣、汶萊,以及馬來西亞都是明顯的受災區。
Magniber 用的是 IE 弱點 CVE-2018-8174,
Adobe與微軟都已經提供相關的修補程式,但若是使用者沒有安裝,
便還是有機會受到這些勒索軟體攻擊。
參考資料 :
Magniber ransomware improves, expands within Asia
【資安預警】Magniber勒索軟體變種,目標鎖定臺灣等多個亞洲國家
enthusia.tw wrote:
我8/25晚上也發現中毒,
怎麼辦,被加密的資料還有救嗎?
大三成照片加全部文件全毀。
已緊急備份出。
副檔名,被改成. gkvzlcy
欲哭無淚。
另外我連被加密的檔案都copy到新硬碟,這是要刪除還是能留著。
有其他辦法嗎??
很遺憾,但目前是無解的。
Magniber 勒索病毒目前都沒有解密金鑰,
更別說變種過後的。
如果你那些資料超重要,
你目前只剩試圖跟對方討價還價試圖降低勒索金額,
但風險就是沒人能保證對方收錢後會真的幫你解鎖。
或
如果遙遠的未來有一天該勒索病毒的作者自願放出解密用的金鑰,
或者哪天作者被執法單位抓了,才有可能將解密金鑰放出來,
才有可能替你檔案解鎖。
你可以將檔案存放到外接的硬碟、隨身碟等等,
但要有心理準備,可能未來數十年內檔案都是無解的。
這個韓國的安博士團隊似乎有辦法......
但我還看不是很懂,也不知怎麼使用
他叫我們等等......
https://cn.ahnlab.com/site/main.do
還有一些3月時公布的magniber解密工具:
https://www.bleepingcomputer.com/news/security/decrypters-for-some-versions-of-magniber-ransomware-released/
不過我重要的資料都有上傳到GOOGLE 雲端去,但PC一被感染就全部上傳上去了~
後來我有跟GOOGLE客服詢問如何解決,他有教我幾個步驟來救雲端的資料
1.請先確認PC已經沒有這個病毒存在(目前不敢相信病毒會自殺的可靠性下,我選擇重灌)
2.切斷PC GOOGLE雲端同步軟體的連結(可以先把同步軟體關閉,主要是要阻止在同步病毒回來)
3.開啟CHROME瀏覽器(廢話!!他可是GOOGLE,怎麼可能叫你開IE),並進入你的雲端硬碟
4.在被疑似或確認被感染的檔案上按下右鍵,就會跳出選單,然後選擇管理版本...
5.挑選在你中毒日期之前的檔案紀錄重新下載到PC上(這一定要先做!!,不能先刪除檔案喔!!)
6.請一個檔案一個檔案慢慢救.... 我上萬個檔案...不知道要點掉幾隻滑鼠....
7.資料保全後,就可以重新上傳回雲端
PS:我有注意到ESET在我使用同步時會不斷出現由GOOGLE同步下來的檔案有病毒!! 所以我當下救完檔案後就把整個雲端給全部刪掉(建議要先做完第5步驟在做,因為你先刪除之後將無法下在先前的版本(因為GOOGLE會認為不要了..就幫你清掉囉...)
以上是我這次的救援紀錄,提供給"病友"們參考,希望能有幫助到大家,謝謝~~
關閉廣告