刚才差点被勒索软件搞上…… - V2EX
首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
VmuTargh
V2EX    问与答

刚才差点被勒索软件搞上……

  •   
  •   VmuTargh 2016-04-19 17:38:08 +08:00 4601 次点击
    这是一个创建于 3461 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚才打开电脑,前天刚刚装上的 F-Secure Protection 就弹报告说 Kill 了一个有害程序:

    Trojan-Dropper:w32/Agent.A!DeepGuard

    然后放狗搜了一下: 第一条结果就是:Locky: Clearly Bad Behavior | News from the Lab 点开一看……卧槽 勒索软件…… Orz 差点就中招了……

    这不是广告!!

    第 1 条附言    2016-04-19 18:28:18 +08:00
    已经把所有外接 U 盘还有内存卡拔出来了,以防万一
    另外已经给 fsecure 发样本过去了,丫检测的出来却 scan 不到……什么鬼啊这是
  • 勒索
  • locky
  • Clearly
  • f-secure
    27 条回复    2016-04-20 18:21:05 +08:00
    jy02201949
        1
    jy02201949  
       2016-04-19 17:40:16 +08:00
    反正 F-Secure Protection 免费,就当是安利一把吧
    hjc4869
        2
    hjc4869  
       2016-04-19 17:42:14 +08:00
    比起关注是被什么软件杀掉的,我更关注的应该是怎么被感染的。
    jkjoke
        3
    jkjoke  
       2016-04-19 17:42:45 +08:00
    哪里能中这种高大上的毒
    cevincheung
        4
    cevincheung  
       2016-04-19 17:42:46 +08:00
    比较好奇是怎么进来的
    cevincheung
        5
    cevincheung  
       2016-04-19 17:42:54 +08:00
    asddsa
        6
    asddsa  
       2016-04-19 17:43:52 +08:00
    求样本
    VmuTargh
        7
    VmuTargh  
    OP
       2016-04-19 17:44:00 +08:00
    @jy02201949 刚刚搞下来的 beta 授权…… 芬兰人的玩意还是比较靠谱的
    不过话说回来了,报告显示通过 Docs 文件或者网页内嵌 js 传播,但是最近我没印象有访问过不信任网站……
    VmuTargh
        8
    VmuTargh  
    OP
       2016-04-19 17:44:20 +08:00
    @hjc4869
    @cevincheung
    看 LS
    cevincheung
        9
    cevincheung  
       2016-04-19 17:44:42 +08:00
    @jy02201949 不是收费的咩? 29 欧啊
    jy02201949
        11
    jy02201949  
       2016-04-19 17:50:59 +08:00
    @cevincheung 可以申请免费的授权,为期 1 年,到期后可以续期,有点类似 win10 的免费策略,你用测试版,免费,相当于做小白鼠
    VmuTargh
        12
    VmuTargh  
    OP
       2016-04-19 17:53:12 +08:00
    @jy02201949 180d , 5 台设备,可以无限续命。支持 win mac ios android
    clino
        13
    clino  
       2016-04-19 18:15:03 +08:00
    同楼上问是怎么感染的?
    是邮件还是下载的 exe 呢?
    VmuTargh
        14
    VmuTargh  
    OP
       2016-04-19 18:17:11 +08:00
    @clino 应该是又有新方式了,我想应该是周六日回家,然后发现百度一直会异常跳转……前面加一个 wqy 什么的协议头
    VmuTargh
        15
    VmuTargh  
    OP
       2016-04-19 18:35:17 +08:00
    @asddsa https://yadi.sk/d/dkO58FYTr7gdT
    iloveayu
        16
    iloveayu  
       2016-04-19 18:45:48 +08:00 via Android
    @VmuTargh 文泉驿躺枪……
    VmuTargh
        17
    VmuTargh  
    OP
       2016-04-19 18:50:34 +08:00
    @iloveayu 我是记不清了,反正应该是新方式来的,因为我 word 啥的都不用……
    kmahyyg
        18
    kmahyyg  
       2016-04-19 21:35:21 +08:00 via Android
    mark 求样本 谢过楼主
    chengn1996342
        19
    chengn1996342  
       2016-04-19 21:43:52 +08:00 via iPad
    现在 FS 界面就是一坨蓝色。。。。。比较难看。。。我裸奔了几年,最近又回归卡巴斯基安全套装的怀抱了
    kamen
        20
    kamen  
       2016-04-19 22:46:22 +08:00
    为什么我第一反应是利用 flash 发起的 0day 攻击
    反正我已经 Block flash 了
    gamexg
        21
    gamexg  
       2016-04-20 09:28:20 +08:00
    误杀吧?

    http://r.virscan.org/report/d7308768ce80bff4157f1cd6ba2db079

    文件名称 : lucky-ransomware.7z (本站不提供任何文件的下载服务)
    文件大小 :1598912 byte
    文件类型 :application/x-7z-compressed
    MD5:27919eab2e4db9480e9ce712ed23bc5b
    SHA1:2357b06c01bc7ce1cd856939389177cd8fb0c0e3
    扫描结果
    warn 安全 全部 39 个引擎未发现危险,文件安全。
    扫描结果:0%的杀软(0/39)报告发现病毒
    时间: 2016-04-20 09:28:05 (CST)
    VmuTargh
        22
    VmuTargh  
    OP
       2016-04-20 11:56:28 +08:00
    @kamen 同 blocked
    @gamexg 我也是很疑惑,干脆发给 fsecure 一份看是咋回事
    xupefei
        23
    xupefei  
       2016-04-20 15:22:39 +08:00 via Android
    看到这个后我迅速买了个授权…这家还挺良心的,学校内部购买只要 9.9 三台机器
    VmuTargh
        24
    VmuTargh  
    OP
       2016-04-20 17:23:18 +08:00
    @xupefei 甜辣 哪个学校这么好
    xupefei
        25
    xupefei  
       2016-04-20 17:37:09 +08:00 via Android
    @VmuTargh 赫尔辛基大学。以前是免费用来着, 9.9 都不要…
    VmuTargh
        26
    VmuTargh  
    OP
       2016-04-20 17:43:06 +08:00
    @xupefei 原来是芬兰高校…… orz
    据说那里 CS 很牛逼不知道是不是真的啊
    关于     帮助文档     自助推广系统     博客     API     FAQ     Solana     2294 人在线   最高记录 6679       Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 26ms UTC 15:53 PVG 23:53 LAX 08:53 JFK 11:53
    Do have faith in what you're doing.
    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
    xupefei
        27
    xupefei  
       2016-04-20 18:21:05 +08:00   1
    @VmuTargh 还不错,不过比不上美国那几家就是了。学校似乎对 Linux 很推崇,公用电脑清一色 Ubuntu ,还经常可以见到一群小朋友在 Ubuntu 上看彩虹小马。
    另外就是工作氛围好,周一周五可以不上班,周二到周四看情况上班。