close

其實版主有接一些熟客的維修電腦,在不影響工作的前提之下(雖然現在也還沒有工作就是了)。

日前朋友的ASUS筆記型電腦從床上滑落到床下,250G的硬碟就一睡不起(幸好朋友有備份的習慣),版主就幫忙裝500G的硬碟(三年保固,第一年免費,第二、三年店家逐步增加手續費,我一毛未賺呀),幫忙裝Win7,換言之,這是一個很乾淨的作業系統環境。

 

今天朋友的電腦出問題了,是勒索病毒。長相大概像這樣:

 

病毒長相-1     

 

解決步驟:

1.開啓隱藏檔案與附檔名

2.刪除 !英文+數字.bmp

3.刪除 !英文+數字.cfg

4.刪除 !英文+數字.html

5.掃描解毒

6.停止服務

7.解密檔案

 

1.先把隱藏的檔案打開,方便後面步驟的進行,套用,確定。

打開隱藏檔案-1.png 打開隱藏檔案-2.png 打開隱藏檔案-3.png  

 

2.3.4.在開始處、啟動處看到的先手動刪除掉

開始處顯示-1.png 開始處顯示-2CProgramData.png  

在搜尋處把檔案名字EFF301E75B94(每個人的英文+數字組合都不一樣,請自行調整) 

搜尋顯示.png  病毒長相-2    

這些全部都可以刪除了,如果遇到有權限的,就要手動單筆刪除

 

5.用MALWAREBYTES ANTI-MALWARE軟體[註1]掃描結果找到一個,刪除

 軟體掃描結果-1.png 軟體掃描結果-2.png MALWAREBYTES ANTI-MALWARE軟體掃描.png  

 

用HitmanPro軟體[註2]找到83+10,刪除

HitmanPro掃描到的-1.png HitmanPro掃描到的-2.png  

 

6.再來就是重頭戲,獨家,只有我個人認為要關掉這個Cryptographic Services 服務[註3],如有引用請告知,謝謝。

cry服務停止-1 cry服務停止-2 cry服務停止-3 cry服務停止永久-4

cry服務停止從這邊侵入-5.pngcry服務停止改成這樣-6 cry服務停止完成-7  

 

其中有一張圖要拉出來解釋,我個人認為這是病毒入侵的痕跡:

網路處顯示.pngcry服務停止從這邊侵入-5    

 

網路位置以及登入的這個帳戶,我敢肯定我不會搞這樣子登入,所以被我發現入侵點,這是外面都沒有提到,我首發獨家!!!

我用regedit找到疑似解碼的答案[註4]

 regedit找到的疑似解碼答案    

7.最後要怎麼解開這些被加密的檔案?我使用shadow軟體[註5]可以一個一個檔案的Export出來!!!

 shadow解決方案  

本文章所使用的軟體(有分32位元與64位元,此篇文章以64位元為主)

不提供序號或是任何破解方法,請勿留言詢問,謝謝。

 

 

[註1]MALWAREBYTES: https://www.malwarebytes.org/

[註2]HitmanPro:http://download.cnet.com/HitmanPro-3-64-bit/3000-2239_4-75110395.html

[註3]Cryptographic Services 服務:http://happy2000.idv.tw/new_page_20.htm

[註4]regedit找到疑似解碼的答案:我有匯出存下來

[註5]ShadowExplorer軟體: http://www.shadowexplorer.com/downloads.html


arrow
arrow
    文章標籤
    勒索病毒 NOT YOUR LANGUAGE? USE https: RSA-4096 MALWAREBYTES ANTI-MALWARE HitmanPro Cryptographic Services ShadowExplorer
    全站熱搜
    創作者介紹
    創作者 trytoselect 的頭像
    trytoselect

    小齊的窩

    trytoselect 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄