查看完整版本: 嚴重系統安全問題，用戶必須閱讀 05/13更新

論壇 › 重要公告區 › 嚴重系統安全問題，用戶必須閱讀 05/13更新

balasi22 發表於 2017-4-28 09:14 PM

感謝告知。剛才差一點就安裝了<div></div>

tuttr 發表於 2017-4-28 09:36 PM

目前w7系統會被感染...
染到的會去幫挖比特幣.....

感染程序名稱是
update64.exe
會吃掉所有資源去幫他挖礦....

目前解決方法是進安全模式刪除c:windowsdell 資料夾
1. 服務中多了兩個服務，分別是 xWinWpdSrv 跟 Windows32_Update，先停止這兩個服務，然後開啟 regedit 將這兩個服務刪除。
(位置：HKEY_LOCAL_MACHINESYSTEMControlSet001services)

2. C:Windows 下多了一個 update.exe，刪
3. C:Windowsdell 下有四個檔案，刪
4. C:WindowsSystem 底下有一個 msinfo.exe，刪
(這個 msinfo.exe 的檔案資訊中，產品名稱是寫 Microl office)
5. 工作排程器中可能會有奇怪的排程，有的人多了一個 my1 的工作，刪
6. 檢查一下使用者帳戶，如果有奇怪的帳號，刪
(例如 IUSR_Servs)
7. 重開機，然後將 Windows Update 更新到最新狀態。

補充內容 (2017-4-30 10:25 PM):
可以看看巴哈姆特這篇【閒聊】統整近期流行的W7型系統病毒
在ptt k島綜合二等地都有相關討論 看來有著嚴重災情 勒索病毒也在其中 分為兩種類 一種

補充內容 (2017-4-30 10:26 PM):
一種是點擊才中
另一種就是用win7漏洞 你不用逛網頁 也有機會中...
攻擊來源疑似就是用美國國家安全局被駭的windows攻擊工具 用這工具來攻擊並執入

補充內容 (2017-5-4 01:31 PM):
這次伊莉假flash更新事件似乎還有後續問題 ptt那邊開始有網友回報 在中了假flash 挖礦病毒update64.exe後

補充內容 (2017-5-4 01:32 PM):
有些人在五月三日開始陸續再發生被勒索軟體thundercrypt勒索
推斷很有可能是這flash挖礦病毒其實還有程式碼 指示在五月三日前後 發動下載勒索病毒

補充內容 (2017-5-4 01:32 PM):
被勒索的電腦 資料會打不開 看不到副檔名 並出現勒索畫面 要求付款比特幣
目前尚未有解決辦法

補充內容 (2017-5-4 01:32 PM):
後續災情 請關注這篇
https://www.ptt.cc/bbs/AntiVirus/M.1493812529.A.8EB.html

補充內容 (2017-5-4 01:34 PM):
z119000  使用者帳戶是可從c碟的user資料夾內看到 以及 控制台中的"使用者帳戶" 來清查

補充內容 (2017-5-8 02:23 AM):
來賓帳戶已經關閉 這應該不是問題
我這邊也也這個東西 我並沒有中毒

jvc-70 發表於 2017-4-28 10:58 PM

感謝管理員提醒 差點就安裝呢 謝謝!

456753zy 發表於 2017-4-29 01:03 AM

太可怕了,沒想到EYNY也這樣

wudiboy 發表於 2017-4-29 12:25 PM

您好~請問一下關於Flash Player那個事情，本身有下載跟安裝了，看到網站的警告當下也已經移除了它，目前電腦使用上是沒什麼問題且CPU也沒飆高的現象...有把powershell.exe該程式上傳去掃也都沒問題，這樣是不是表示沒事呢@@?<br><br><br><br><br><div></div>

ya_me 發表於 2017-4-29 05:39 PM

中標的話~
真的會很嚴重欸~~
謝謝提醒!!{:31:}

bluxdop 發表於 2017-4-29 08:56 PM

這支powershell.exe釣到我了!! 我中標了.. 當時就在想怎麼會有如此明顯的木馬間諜!

中了也不用太緊張, 因為電腦重開機就跑出來超大一隻的 ~ 這也太"明顯"了啊!就上網找解決的方法..

現在powershell.exe就沒有在出現了 ^^

ken168yu 發表於 2017-4-30 02:32 PM

感謝管理員的通知,差點就要重灌電腦了,還好有出來聲明,替小弟省了許多麻煩,再次感謝您~

ken168yu 發表於 2017-4-30 02:35 PM

感謝樓主的提醒!! 感謝樓主的提醒!! 感謝樓主的提醒!!

tuttr 發表於 2017-4-30 10:24 PM

tuttr 發表於 2017-4-28 09:36 PM static/image/common/back.gif
目前w7系統會被感染...
染到的會去幫挖比特幣.....



可以看看巴哈姆特這篇【閒聊】統整近期流行的W7型系統病毒
在ptt k島綜合二等地都有相關討論 看來有著嚴重災情 勒索病毒也在其中 分為兩種類 一種是點擊才中
另一種就是用win7漏洞 你不用逛網頁 也有機會中...
攻擊來源疑似就是用美國國家安全局被駭的windows攻擊工具 用這工具來攻擊並執入病毒


補充內容 (2017-5-4 01:28 PM):
這次伊莉假flash更新事件似乎還有後續問題 ptt那邊開始有網友回報 在中了假flash 挖礦病毒update64.exe後


補充內容 (2017-5-4 01:29 PM):
有些人在五月三日開始陸續再發生被勒索軟體thundercrypt勒索
推斷很有可能是這flash挖礦病毒其實還有程式碼 指示在五月三日前後 發動下載勒索病毒

補充內容 (2017-5-4 01:31 PM):
被勒索的電腦 資料會打不開 看不到副檔名 並出現勒索畫面 要求付款比特幣
目前尚未有解決辦法

補充內容 (2017-5-4 01:31 PM):
後續災情 請關注這篇
https://www.ptt.cc/bbs/AntiVirus/M.1493812529.A.8EB.html<br><br><br><br><br><div></div>

asdfcr2006 發表於 2017-5-1 11:57 AM

原來如此 難怪裝了防毒軟體馬上告知有木馬

大爆炸藥劑 發表於 2017-5-3 04:53 PM

head369shot 發表於 2017-4-24 09:46 PM
想問一下   如果是沒有下載完成是不是沒有事?  雖然有掃毒但還是保險問下

已重毒 今日檔案被鎖 各位祝福你們平安

嘉源 發表於 2017-5-3 09:00 PM

感謝提醒，但近期還未遇到過有跳需安裝Flash Player的頁面

brian1117 發表於 2017-5-3 10:53 PM

中毒的是PowerShell 剛剛我Kill Process掉, 勒索病毒已停止(之後我不知道 剛用掉的)

brian1117 發表於 2017-5-3 11:05 PM

而且找到一個叫"SVCHOST.EXE"的 正常的是"svchost.exe" 大小不一樣
那個有外連到一個IP: 94.73.36.254 不知是不是毒的伺服端

(PID:6548 Protocal:TCP Remote_Port:1601 Statuus:SYN_SENT)
<br><br><br><br><br><div></div>