刚才差点被勒索软件搞上……

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3145 天前的主题，其中的信息可能已经有所发展或是发生改变。

刚才打开电脑，前天刚刚装上的 F-Secure Protection 就弹报告说 Kill 了一个有害程序：

Trojan-Dropper:w32/Agent.A!DeepGuard

然后放狗搜了一下：第一条结果就是：Locky: Clearly Bad Behavior | News from the Lab 点开一看……卧槽勒索软件…… Orz 差点就中招了……

这不是广告！！

第 1 条附言 · 2016-04-19 18:28:18 +08:00

已经把所有外接 U 盘还有内存卡拔出来了，以防万一
另外已经给 fsecure 发样本过去了，丫检测的出来却 scan 不到……什么鬼啊这是

勒索

locky

Clearly

f-secure

27 条回复 • 2016-04-20 18:21:05 +08:00

jy02201949

2016-04-19 17:40:16 +08:00

反正 F-Secure Protection 免费，就当是安利一把吧

hjc4869

2016-04-19 17:42:14 +08:00

比起关注是被什么软件杀掉的，我更关注的应该是怎么被感染的。

jkjoke

2016-04-19 17:42:45 +08:00

哪里能中这种高大上的毒

cevincheung

2016-04-19 17:42:46 +08:00

比较好奇是怎么进来的

cevincheung

2016-04-19 17:42:54 +08:00

asddsa

2016-04-19 17:43:52 +08:00

求样本

VmuTargh

2016-04-19 17:44:00 +08:00

@jy02201949 刚刚搞下来的 beta 授权…… 芬兰人的玩意还是比较靠谱的
不过话说回来了，报告显示通过 Docs 文件或者网页内嵌 js 传播，但是最近我没印象有访问过不信任网站……

VmuTargh

2016-04-19 17:44:20 +08:00

@hjc4869
@cevincheung
看 LS

cevincheung

2016-04-19 17:44:42 +08:00

@jy02201949 不是收费的咩？ 29 欧啊

VmuTargh

2016-04-19 17:45:56 +08:00

@hjc4869
@jkjoke
@cevincheung
https://blogs.forcepoint.com/security-labs/lockys-new-dga-seeding-new-domains
https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more

jy02201949

2016-04-19 17:50:59 +08:00

@cevincheung 可以申请免费的授权，为期 1 年，到期后可以续期，有点类似 win10 的免费策略，你用测试版，免费，相当于做小白鼠

VmuTargh

2016-04-19 17:53:12 +08:00

@jy02201949 180d ， 5 台设备，可以无限续命。支持 win mac ios android

clino

2016-04-19 18:15:03 +08:00

同楼上问是怎么感染的?
是邮件还是下载的 exe 呢?

VmuTargh

2016-04-19 18:17:11 +08:00

@clino 应该是又有新方式了，我想应该是周六日回家，然后发现百度一直会异常跳转……前面加一个 wqy 什么的协议头

VmuTargh

2016-04-19 18:35:17 +08:00

@asddsa https://yadi.sk/d/dkO58FYTr7gdT

iloveayu

2016-04-19 18:45:48 +08:00 via Android

@VmuTargh 文泉驿躺枪……

VmuTargh

2016-04-19 18:50:34 +08:00

@iloveayu 我是记不清了，反正应该是新方式来的，因为我 word 啥的都不用……

kmahyyg

2016-04-19 21:35:21 +08:00 via Android

mark 求样本谢过楼主

chengn1996342

2016-04-19 21:43:52 +08:00 via iPad

现在 FS 界面就是一坨蓝色。。。。。比较难看。。。我裸奔了几年，最近又回归卡巴斯基安全套装的怀抱了

kamen

2016-04-19 22:46:22 +08:00

为什么我第一反应是利用 flash 发起的 0day 攻击

反正我已经 Block flash 了

gamexg

2016-04-20 09:28:20 +08:00

误杀吧？

http://r.virscan.org/report/d7308768ce80bff4157f1cd6ba2db079

文件名称 : lucky-ransomware.7z （本站不提供任何文件的下载服务）
文件大小 :1598912 byte
文件类型 :application/x-7z-compressed
MD5:27919eab2e4db9480e9ce712ed23bc5b
SHA1:2357b06c01bc7ce1cd856939389177cd8fb0c0e3
扫描结果
warn 安全全部 39 个引擎未发现危险,文件安全。
扫描结果:0%的杀软(0/39)报告发现病毒
时间: 2016-04-20 09:28:05 (CST)

VmuTargh

2016-04-20 11:56:28 +08:00

@kamen 同 blocked
@gamexg 我也是很疑惑，干脆发给 fsecure 一份看是咋回事

xupefei

2016-04-20 15:22:39 +08:00 via Android

看到这个后我迅速买了个授权…这家还挺良心的，学校内部购买只要 9.9 三台机器

VmuTargh

2016-04-20 17:23:18 +08:00

@xupefei 甜辣哪个学校这么好

xupefei

2016-04-20 17:37:09 +08:00 via Android

@VmuTargh 赫尔辛基大学。以前是免费用来着， 9.9 都不要…

VmuTargh

2016-04-20 17:43:06 +08:00

@xupefei 原来是芬兰高校…… orz
据说那里 CS 很牛逼不知道是不是真的啊

xupefei

2016-04-20 18:21:05 +08:00

@VmuTargh 还不错，不过比不上美国那几家就是了。学校似乎对 Linux 很推崇，公用电脑清一色 Ubuntu ，还经常可以见到一群小朋友在 Ubuntu 上看彩虹小马。
另外就是工作氛围好，周一周五可以不上班，周二到周四看情况上班。