客戶這幾天收到網路廠商的簡訊說他的IP位置被攻擊,造成流量異常。

用戶表示這幾星期下來常常開機就會跳出江民防毒軟體"有偵測到病毒並移除"的警告。

 

 

 

聽到客戶這樣敘述,小編在當天稍早去的另一家公司也是有出現這種狀況,

使用者表示只要上網就會跳出江民防毒軟體的警告。

當下以為是江民病毒資料庫過舊造成誤判,

所以幫軟體更新資料庫後就請使用者再觀察看看。

 

 

 

後來回公司,剛好也碰到一樣有客戶遇到這種情形,

這時候就感覺怪怪的,於是開始查到底是甚麼原因造成這種狀況。

 

 

 

在江民防毒軟體病毒隔離區調出來的紀錄,

滿滿都是Downloader Cloudbundle.a這個病毒檔,

路徑都位於使用者中的TEMP資料夾底下。

20161230_201634.jpg

 

 

 

因為怕是江民防毒軟體誤判,所以上網查了有關於這支病毒的相關訊息。

在google直接搜尋第一個跳出來的資料就是底下給的這個網址:

http://virusinfo.jiangmin.com/queryInfo.asp?virword=Downloader.CloudBundle.a

防毒.JPG

 

 

 

江民並沒有對於這支病毒的解釋,有可能是誤判。

為了確保真的不是病毒,將原先的防毒軟體移除改裝Microsoft Security Essentials,

這是一套微軟提供的免費防毒軟體。

Win7可以安裝

Win8 和 Win10 本身就有內建的Windows Defender了。(跟MSE一樣)

 

 

 

完整掃描一段時間後,結果出來是有偵測到異常的項目。(Ransom:Win32/Exxroute)

發現的路徑也是在使用者底下的TEMP資料夾內,

代表江民防毒軟體有偵測到病毒也顯示清掉但是好像沒有完全的清理乾淨。

20161230_163933.jpg

 

 

 

將偵測到的項目名稱查詢後發現...這是一支加密(勒索)病毒!!

附上查詢結果的網址:

http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Exxroute.A

01.JPG

 

 

 

看到跟加密病毒有關的圖片了...

02.JPG

 

 

 

確認是加密病毒後趕緊查看客戶電腦的資料有沒有被加密起來...

結果還是晚了一步,客戶也沒有備份資料。

雖然病毒有被手動刪掉,但是現在的加密病毒並不敢保證是一次性的加密,

而且會去攻擊別人的IP,所以會建議系統整個重灌才會乾淨。

 

 

 

arrow
arrow
    文章標籤
    病毒 江民 加密
    全站熱搜

    葳穎資訊 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄