看過太多連備份的都被加密了OSSLab Geek Lab 在Facebook 的評價

Q: 看過太多連備份的都被加密了OSSLab Geek Lab 在Facebook 的評價

當遇到神明無解都怎辦 😆遇到加密病毒 最先該做的事情1.讓加密電腦睡眠2.保留原硬碟跟鏡像全硬碟3.分析Pagefile.sys和hiberfil.sys是否留有原密鑰4.送來 OSSLab Geek Lab 如果沒有取得密鑰就只有靠Raw Recovery資料恢復方式來處理這種狀況這方面使用市面上救援軟體 R-studio 就可以.https://www.r-tt.com/但效果通常不會很好....被加密的資料庫還有機會以頁結構方式作資料恢復 請參考 OSSLab Geek Lab 真實案例https://www.osslab.com.tw/recovery-encrypted-mdf/硬碟 企業級儲存 資料救援首選http://dr.osslab.com.tw/未來有沒有啥黑科技 可以來破解這些加密病毒主架構 當然是有可能但是那一定要需時間..... 能人志士的愛好研究與逆向#OSSLab#養蠱王#平日該備份#看過太多連備份的都被加密了

關於看過太多連備份的都被加密了，我們在網路上蒐集到這些相關的討論、資訊與評價

「看過太多連備份的都被加密了」的推薦目錄：

關於看過太多連備份的都被加密了在 OSSLab Geek Lab Facebook 的最佳解答

關於看過太多連備份的都被加密了在 Re: [問題] 所有照片文件MP3的檔名多了.cryp1 - 看板AntiVirus 的評價
關於看過太多連備份的都被加密了在 NAS 網路磁碟伺服器使用者俱樂部| 更正一下這波勒索病毒壓縮 ... 的評價

看過太多連備份的都被加密了在 OSSLab Geek Lab Facebook 的最佳解答

By OSSLab Geek Lab

2018-07-24 13:00:07 有 43 人按讚

當遇到神明無解都怎辦 😆

遇到加密病毒最先該做的事情
1.讓加密電腦睡眠
2.保留原硬碟跟鏡像全硬碟
3.分析Pagefile.sys和hiberfil.sys是否留有原密鑰
4.送來 OSSLab Geek Lab

如果沒有取得密鑰
就只有靠Raw Recovery資料恢復方式來處理這種狀況
這方面使用市面上救援軟體 R-studio 就可以.
https://www.r-tt.com/
但效果通常不會很好....

被加密的資料庫還有機會以頁結構方式作資料恢復
請參考 OSSLab Geek Lab 真實案例
https://www.osslab.com.tw/recovery-encrypted-mdf/

硬碟企業級儲存資料救援首選
http://dr.osslab.com.tw/

未來有沒有啥黑科技可以來破解這些加密病毒主架構當然是有可能
但是那一定要需時間..... 能人志士的愛好研究與逆向

#OSSLab
#養蠱王
#平日該備份
#看過太多連備份的都被加密了

Tags: 看過太多連備份的都被加密了 OSSLab 養蠱王平日該備份

OSSLab Geek Lab

About author

我們的理念是，做個 Reverse engineering Lab 要公開跟分享真實有效的 IT 技術與原理，才能驗證技術是否正確。並且嘗試各種不同技術、知識、發想概念的組合來測試能否得到更佳的結果

這是個IT實驗室在Storage 、Information security、 Networking 、Embedded 造業(Karma)與解業的故事及心得

社群媒體上有些相關的討論：

看過太多連備份的都被加密了在 Re: [問題] 所有照片文件MP3的檔名多了.cryp1 - 看板AntiVirus 的推薦與評價

作者PINGPIG (waitting...)

看板AntiVirus

標題Re: [問題] 所有照片文件MP3的檔名多了.cryp1

時間Mon Jun 6 10:13:56 2016

我的電腦也中了cryp1
跟大家分享中毒的過程

開頭先告訴大家，一旦發現中了
立馬關機為上策，拔掉網路線也沒用

我的電腦總共有七個槽區、共七顆硬碟
C:\系統槽SSD
D:\為文件槽，E:\槽為D:\raid1備份槽
F.G.H.I. 則為其他資料區

約莫6/5下午快兩點
用電腦的時候發現網路位置多了三個不知名的檔案
覺得奇怪，然後立即將三個檔案刪除

接著正常使用電腦
準備要打開I:\影片時
發現根目錄也有三個剛剛在網路位置看到的不知名檔案
仍然直接將檔案刪除，在\刪除檔案的同時
才發現根目錄&子目錄資料夾內的影片被加了 cryp1的副檔名
被加密的檔案以影片檔居多

覺得不妙，於是趕緊把網路線拔除
接著發現H槽也淪陷
趕緊上網查相關文章，這才發現自己也中了綁架病毒
將 H 跟 I 兩顆硬碟都格式化
同時也先檢查了 F:\ 跟 G:\未受感染
並上網買卡巴斯基三台兩年版(但目前還未收到Orz)

正當自己在備份桌面資料，準備要重灌的時候
卻發現，剛剛檢查未受感染的F跟G
竟然也淪陷了，就在不到五分鐘的時間
此時後悔已經來不及了...
上來板上看板友的文章後
才知道第一個要做的應該是直接關機

由於我們最重要的資料都在D槽
擔心D槽也受感染，趕緊關機並重灌
重灌的時候把C:\以外的硬碟都拔除掉

重灌的同時，其實也很擔心D、E會跟F、G一樣受感染
所以將D槽接到別台NB檢查
因為D槽是文件圖片區，重要如生命
也做好最壞打算，如果連D、E都淪陷的話
只能乖乖付贖金了，雖然我們真的不想助紂為虐..

好在，D槽接了NB確認檔案未感染
趕緊再多備份一份到筆電裡
等於重要的資料除了原本的之外還有兩個備份

電腦重灌完成後，直接將ie給刪掉
以後都只用chrome 跟 Firefox
並將D槽的硬碟接回電腦，目前使用正常
就等收到防毒軟體後再灌其他程式

F:\跟G:\的資料，就只能期望之後會有破解救回了

回想中毒的可能，應該是前一晚(6/4)
為了登入網銀而使用了ie
(平時都是用chrome，只有月初為了登網銀才會用ie)
準備要登入金融卡頁面時
發現頁面上方跳出安全性檔案下載
但詭異的是，檔案下載後都還沒安裝我就能成功登入
當下只覺得好像有點怪怪的
但能正常使用就也沒多想

直到隔日中了綁架病毒，才覺得不妙
前一晚的那個檔案下載時的來源憑證長的不太像銀行官方的
可能就如同王阿達文章所述"偽裝成更新的病毒"
但6/5有朋友幫我去檢測銀行的更新檔，卻顯示安全
加上也有人說這病毒有潛伏期
所以真正中毒的時機點實在很難推斷

我個人還是覺得前一晚下載到的那個偽裝病毒可能性較大
不確定那個偽裝病毒是否會是隨機
而非固定依附在某家網銀下
(我登入的不是前幾天發公告的那家)

如果有人發現自己檔案被加密了
1.緊急關機為首要步驟，拔網路線沒用
2.硬碟拆下來到其他電腦、筆電掃毒，確認無被加密後備份
3.將電腦重灌，並將確認無中毒的硬碟接回
4.ie就把它給刪了吧，改用FireFox
(我是這次中了以後才知道原來火狐也能登網銀...囧)

最後，希望破解的程式能出來啊!
希望自己的F、G還能救
但也知道不能抱太大的期望
那兩顆硬碟就只能先放在一旁，期盼日後還有轉機了...

※ 引述《wintrylove (懶的想)》之銘言：
: ※ 引述《blink173 (blink183)》之銘言：
: : 解開了 100%還原成功 !!
: : 評估了資料價值還是付了贖金....1.2個比特幣換算台幣23200 手續費75元
: : 然後就順利解開了
: : 如果不想花這麼多可以找板橋資料救援的先生他BLOG有貼很多成功案例
: : 之前的勒索還有這次最新都有不過他不是用解的所以能從HD中撈出多少屍體
: : 就聽天了
: : 錢好痛...
: 先推b大這篇付贖金的心得分享。
: 大家都是受害者，我認為應該唾棄的不是付贖金的受害者，
: 而是利用這種骯髒手段賺人錢財的兇手。
: 可以理解有些人，不喜歡別人付贖金去養兇手的那種心情，
: 但對某些人來說，被綁架的是非常非常重要的資料，不管如何都必須去拯救的情況下，
: 請給他們多點同理心。
: 沒錯！如果有好好的備份，就不需要走到這一步。
: 我想付過贖金之後，不管是之前對於備份重要性的無知、還是鐵齒自己不會這麼倒楣，
: 都會重新認真看待資訊安全這件事。
: 因為受害者不是自己，所以無法分享個案是如何中cryp1這隻病毒的。
: 看完版上的討論，仍然無法歸納出一個中毒的規律性。
: 自己是有使用沙盤來瀏覽風險性網站的習慣，
: 但對於youtube這類的網站，我還真放心的只用google chrome在瀏覽，
: 如果這樣也會因為flash還是廣告而中毒，那也真的太恐怖了吧！根本防不勝防！
: 還好，個人有使用NAS對家中電腦進行每日多版本備份的習慣，
: 或許這樣的方式可以避免類似加密病毒的傷害。
: (中毒了..只要還原到中毒以前的備份就好。)
: 受害者是朋友公司的電腦，那天我剛好在那邊，一聽到說電腦畫面變奇怪，
: 我走過去一看，發現encrypted這個字眼，直覺不妙、立馬關機。
: 隔天早上檢查災情時，
: 兩個硬碟共5個槽，文件圖片影像音樂檔全部完美加密，一個也沒漏。
: 朋友根本不懂加密病毒是什麼，花了時間解釋，
: 他還跟我說這是犯罪吧！警察會抓吧？
: 再經過一段解釋後，仍然不太相信這個病毒有這麼嚴重，
: 認為外面一定有技術高強的公司可以破解病毒救回檔案。
: 朋友親自問了外面店家之後，才明白事情的不可挽回性。
: 這邊提供一些處理心得給同是cryp1的受害者參考：
: (1)你會有一組個人ID，也會看到幾個連結。
: 當你點入連結、並且輸入個人ID，就會看到兇手給你的訊息。
: 要你付贖金來解救你的檔案，有清楚的流程、還提供比特幣交易網站的連結。
: (但是這些網站大多都不太好用，因為必須審核信用卡正面照片及個人證件照片)
: 以台灣地區最方便取得比特幣的方法，
: 一個是上述連結之一的交易網，向台灣會員私下匯款交易購買，
: 一個就是前篇文章blink173分享的BitoEX網站，全家便利商店代繳購買。
: 輸入個人ID的同時，會倒數計時100小時，倒數完畢前贖金價格為1.2比特幣，
: 倒數完畢後價格翻倍。
: (若有可能付贖金者，建議別太早輸入個人ID進去！你可以擁有更多遲疑時間。)
: (2)兇手會提供一個512kb內檔案的解鎖機會，自由選擇、並將檔案上傳。
: 可能太多人使用，等了兩天還在waiting階段。
: 完全無法順利救援該檔案。(兇手本意是要取得受害者信任，他有能力回復你的檔案
。
: (3)不付贖金，可以利用硬碟救援軟體，撈出加密前的一些檔案。
: 個人經驗，handyrecovery分析快、但是能撈出的檔案很少。
: RStudioPortable分析慢，但是可以撈出很多檔案，
: 不過撈出的檔案可能重複3~4份、
: 且不按照資料夾排列(該磁碟區內相同副檔名的文件通通擺在一起)、
: 檔名全部數字排列。
: 雖然可以救援出很多檔案(若該硬碟區的已使用空間比例越低、救援機率就越高)，
: 但是要回覆到先前的完整性及架構性，仍然不理想。
: 推薦給僅需要救援部分特定檔案的人、或是有很多時間可以去重新整理資料的人。
: 有些店家具有資料回復能力，其實利用的就是硬碟真實資料尚未抹除的原理。
: (4)如果你中的是和我相同的cryp1這隻病毒，朋友的個案付完贖金後，
: 是有成功解密救回原本的檔案的。(付款後該網頁可以看見解密軟體載點+個人解密
鑰)
: (不敢說是100%復原，因為我不是該電腦的主人，
: 但解密後讓朋友看過，目前他還沒發現漏掉什麼檔案。)
: ※當時我們要付贖金的時候很抖，因為我只有找到一篇國外受害者付贖金救回資料
的
: 經驗分享。那個時候本版尚未有人分享這方面的經驗。
: 不過我朋友付贖金的心態是，能努力的他都盡量去做，因為資料真的很重要。
: 即使被騙，他也認了。
: ※解密運行過程，耗時相當長。1.1TB約耗費20小時左右(I5等級CPU)。
: 解密的時候，原本的cryp1的檔案不會刪除，因此要小心解密後磁碟區使用容量額
滿
: 的情況發生。最好將使用容量降至50%以下再解密會比較好。
: (5)請注意！本點為個人推測！
: 本病毒"似乎"在桌面出現警告的時候，能加密的檔案都加密了。同時，病毒會自殺
，
: 自此之後，這隻病毒不會再重複感染此電腦。
: 因為我在C槽下開了一個有內容的word檔，已經三天了都還沒有被加密。
: 我有接上隨身硬碟，隨身硬碟內的檔案也沒有被加密。
: (這些過程都是在付贖金之前測試的)
: 對於有些人來說，他們只是單純利用電腦進行作業、因為電腦使用技巧跟不上科技進化
，
: 就受害於這樣的病毒，我覺得是太殘忍了些。
: 最後，還是請大家做好備份！不同步備份、或是多版本備份都可以。
: 這樣即使不幸中了加密病毒，還能有資料供作復原。
: 如果沒辦法做好100%防毒、就只好朝中毒後還能救援的方向做準備。

--

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.122.100
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465179239.A.906.html
※ 編輯: PINGPIG (60.250.122.100), 06/06/2016 10:17:20

推 JILLyu: 請問我DROPBOX跟電腦裝置有連結也加密,資料夾刪除就可以嗎06/06 10:28

推 MoJi: 用什麼軟體掃毒？ 06/06 10:29

推 vobor: IE刪不掉R大哥06/06 10:30

→ hn9480412: IE要去控制台關閉 06/06 10:37

※ 編輯: PINGPIG (111.71.216.2), 06/06/2016 10:51:44

推 john11894324: 網銀?我記得前幾篇文章有提到某間銀行不開放ie11 06/06 10:55

→ john11894324: 這未免也太巧... 06/06 10:55

推 john11894324: 該不會是刻意在某些網站植入惡意程式 06/06 10:57

→ john11894324: 以中文語系為主的網站所以才這麼多人中標 06/06 10:57

→ Roy3567: 我覺得那些限定IE的政府網站跟網銀根本是推人進坑的幫手 06/06 12:01

→ Roy3567: 看到那些連IE10都不給正常運作的鳥系統真的很想罵髒話 06/06 12:03

推 yoyo80725: 有的公司內部電腦還限定用IE 等到被綁就全公司QQ 06/06 12:52

推 abramtw: 為什麼不用firefox+IE Tab 06/06 13:33

推 seekjupiter: 好奇一下 IE tab還是會中獎吧? 06/06 15:47

推 samuraiboy: 這個付贖金也要看綁架犯的良心就是了 06/06 15:56

推 HenryLin123: 不要怪IE 自己問題= = 06/06 16:12

→ jacklin2002: 為什麼這系列看下來都沒有人會先用工作管理員看有沒 06/06 16:38

→ jacklin2002: 有奇怪的或未見過的程式在執行....??? 06/06 16:39

推 playlive: 拔硬碟到其他電腦掃毒也掃不到吧？不然早就被攔截了不是 06/06 17:18

→ playlive: 嗎？ 06/06 17:18

推 justyoshi: 中標後電腦會變超級慢...因為硬碟全力在跑，連工作管理 06/07 00:48

→ justyoshi: 員都開很慢........ 06/07 00:48

... <看更多>

看過太多連備份的都被加密了在 NAS 網路磁碟伺服器使用者俱樂部| 更正一下這波勒索病毒壓縮 ... 的推薦與評價

在充滿著這種不確定狀況,被加密,被破壞的資料狀況. 如何根據原理狀況來推測成功機率?是否有啥加密漏洞? 這都需要瞭解加解密架構再來定制化專案處理. ... <看更多>

你可能也想看看

搜尋相關連結

#1. 中了勒索病毒要如何處理 - iT 邦幫忙

今天發現我的照片檔跟影片檔都被改成類似230.jpg.waoaentmo 這個該如何處置，有辦法能解密嗎，過去慢慢回憶都在裡面阿...... 我是該付錢還是有更好的 ...

#2. 防範勒索病毒之道：良好的使用習慣、預防之餘更要做好備份

感染後儲存在電腦甚至是網路磁碟裡的檔案會被加密，系統和資料就如同「被綁架的人質」一樣，綁匪會要求用戶在時限內支付贖金（通常是比特幣這類數位加密 ...

#3. 關於勒索病毒的常見問題與說明(內詳) 6/2更新

使win7使用者中鏢，以上幾種除了自己同意病毒做亂以外，. 不管是透過flash使電腦中鏢，或是主動攻擊win7漏洞，. 都是在加密完成前很難以察覺的 ...

#4. NAS 網路磁碟伺服器使用者俱樂部| 更正一下這波勒索病毒壓縮 ...

在充滿著這種不確定狀況,被加密,被破壞的資料狀況. 如何根據原理狀況來推測成功機率?是否有啥加密漏洞? 這都需要瞭解加解密架構再來定制化專案處理.

#5. 8個加密勒索軟體常見的問題 - 政大電算中心

請於無網路連線、空間足夠乾淨重建的作業環境，安裝具備勒索加密偵測能力之防毒軟體後，再進行備份檔案回復作業，若仍無法順利回復，建議可再嘗試使用舊一代版本之備份檔案 ...

#6. 勒索病毒如何預防？副檔名被更改3 大救援行動，一看就懂！

若沒有太多重要檔案被加密且有資料備份，可重灌系統讓電腦回復成乾淨的原始狀態。但在重灌前記得確認電腦本身的風險與狀態，避免因同樣漏洞而再度感染。

#7. Re: [問題] 所有照片文件MP3的檔名多了.cryp1 - 看板AntiVirus

硬碟拆下來到其他電腦、筆電掃毒，確認無被加密後備份3.將電腦重灌，並將確認無中毒的硬碟接回4.ie就把它給刪了吧，改用FireFox (我是這次中了以後才 ...

#8. 快用NAS 網路磁碟機「自動備份/快照」幫你保護資料安全 ...

因為被加密之後的檔案其實長得跟原來的檔案並不相同，因此就算被同步回NAS 也不會造成檔案被覆蓋的問題。當然還是有可能發生原始檔案被刪除等問題，造成NAS 上的同步 ...

#9. 提高遠端桌面安全性方法整理！降低Windows 10 遠 ... - 老貓測3C

如果沒有做好遠端桌面安全性，甚至可能被入侵直接就中勒索病毒，每個檔案都被加密無法存取。如果不付費，所有檔案幾乎是無法救回。

#10. 民生國小校網預防勒索病毒請勤於備份重要資料- dropbox 中毒

Dropbox 雲端硬碟也有還原功能，倘若你在個時間點內做了太多刪除或者不小心覆蓋掉原有的檔案， ... 重新開機後發現Dropbox被勒索病毒入侵，檔案都被加密無法開啓。

#11. 虛擬貨幣詐騙如何分辨？教你如何避開加密貨幣投資詐騙的方法

因為底下太多人留言問XX交易所安全嗎？我再說一次，除了規模最大的這些以外，其他全都建議不要用。有些根本連google都找不到，或者網址一 ...

#12. 111年度從新聞事件看資安及法規要求的影響

企業或服務供應商應建立正確的災難復原策略，例如將備份資料存放至冷儲存，在此次的攻擊中，VFEmail讓駭 ... 他所有的加密貨幣和NFT 都被盜，他沒有透.

#13. Ledger推私鑰恢復被炎上！方便、安全能兼具？冷錢包龍頭庫 ...

帳號密碼已經討論了很久，大家也都認為不夠安全，我們相信未來會有更多新科技，會幫助用戶在安全性和使用體驗上有更好的提升。 🛎️延伸閱讀： Google兩 ...

#14. 第七十三屆柏林影展，入圍作品觀映筆記（一）：致敬與回顧單元

... 鮮有深入介紹非主流影片，有些甚至是西方世界也未有太多關注的作品。 ... Asti）和男主角法蘭西斯柯巴里利（Francesco Barilli）都長的美極了！

#15. 中勒索病毒怎麼辦！勒索病毒的前兆有什麼？怎麼破解？一次看 ...

如果太多的重要檔案被勒索病毒加密，而且有備份檔案，可以選擇重灌電腦，並修補漏洞，避免再次感染。嗨雲資安專業團隊. 嗨雲能夠協助排查遭勒索病毒侵害 ...

#16. 面對勒索軟體的三道救命防線 - 保安資訊

以CryptoLocker這類加密勒索軟體為例，首先，它們會掃描所有的網路磁碟機，接著 ... 個人電腦的數量太多，難以設定排程來進行備份，因此更需要一種能隨時隨地自動備份 ...

#17. 珍藏所愛，愛所珍藏－淺談防護重要檔案免受勒索軟體威脅

接著，重開機進入安全模式；或直接將硬碟拆下來安裝於其他乾淨的電腦，備份其中尚未被加密的檔案。另外，亦可嘗試使用防毒軟體業者提供之解密工具搶救，不過由於勒索軟體 ...

#18. 幹0娘剛中勒索病毒你他媽win10不... - 綜合避難所No.20094771

>>20094987 # 大概跟上面說的一樣吧只是上個月的事了掃毒也沒掃出來剛windows 跳了一個沒看過的txt建議上傳點下去看在封我檔案.

#19. -便宜的美国虚拟主机介绍及优惠码- 闲吧资源站

哈啾雖然有點傻眼，但是也只能怪自己不好好的備份，後來就沒繼續使用了。 ... 網站並無新增太多模組, 但連網速度往往要超過一分鐘才刷新網頁想請問有什麼方法能改善 ...

#20. 防範勒索病毒之道：良好的使用習慣、預防之 ... - Yahoo奇摩新聞

感染後儲存在電腦甚至是網路磁碟裡的檔案會被加密，系統和資料就 ... 病毒的入侵，因此除了良好的使用習慣，多版本備份才是對抗勒索軟體的最佳武器。

#21. 勒索病毒推升安全意識企業紛部署端點備份 - 網管人

台灣華睿泰科技（Veritas Technologies）技術顧問協理孫秀婷觀察，不少企業都是因為用戶端的檔案被加密才驚覺已經被勒索病毒入侵，「面對這種情況，只有兩種途徑可以 ...

#22. NetAdmin 網管人 08月號/2021 第187期 - 第 48 頁 - Google 圖書結果

首先,由於這是軟體開發流程的最後一個階段,因此接下來就沒有太多的驗證程序。再者,此階段產生的執行檔 ... 而且由於雜湊碼會經過私密金鑰加密,因此沒有這把金鑰無法 ...

#23. 比特幣精粹 - Google 圖書結果

組帳戶,錢包會有多組帳戶,這個密碼是鎖檔案不是鎖帳戶,所以你要匯新的帳戶進去,就是要把錢包檔案解鎖才可以匯新的一組帳戶 3.輸入指令importprivkey [你的私鑰]這個 ...

#24. 日本藤素- 壯陽藥

中勒索病毒後，由於文件的結構被加密破壞，所有文件都是無法使用的。 ... SqlServer和Oracle，其他類型數據庫大多由於小文件太多，會表現為全加密狀態，修復效果一般。

關於 看過太多連備份的都被加密了 ，我們在網路上蒐集到這些相關的討論、資訊與評價