大博的IT狗吠火車故事集

本文並非鼓勵受害者支付贖金，付贖金都是最下下策的解決方法，都是萬不得已中的無奈之舉。 如果不付贖金希望取回檔案，請保留檔案並關心以下兩個常見網站獲取免費解密訊息釋出。 https://www.emsisoft.com/ransomware-decryption-tools/?__c=1 https://www.nomoreransom.org/crypto-sheriff.php?lang=zht_Hant 關於此事件QNAP官方回應 https://www.qnap.com/zh-tw/news/2021/%E5%9B%9E%E6%87%89-qlocker-%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E6%94%BB%E6%93%8A%E4%BA%8B%E4%BB%B6%E7%AB%8B%E5%8D%B3%E6%8E%A1%E5%8F%96%E8%A1%8C%E5%8B%95%E4%BF%9D%E8%AD%B7-qnap-nas?ref=home 不用付錢的解密方法討論串 https://www.facebook.com/groups/nas.tw/permalink/10159342562028245/ 轉貼討論串之內容 楊大慶 提供 QNAP NAS 最近中了 7z 加密病毒的 1. 不要重新開機；重新開機過可以直接放棄 2. SSH 登入進去 3. 使用以下 command 檢查加密是否進行中；如果不是進行中，可以直接放棄 ps | grep 7z 4. 如果加密進行中，請輸入以下 command cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000' > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z; 5. 等待10秒，輸入以下 command cat /mnt/HDA_ROOT/7z.log 得出 a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH] 「mFyBIvp55M46kSxxxxxYv4EIhx7rlTD」就是加密的密碼 6. 重新

20210427 後記 此病毒為 eCh0raix ，付贖後會給予解密，此病毒這兩年間不斷更新，20210422又遇針對QNAP漏洞攻擊，建議要勤更新QNAP韌體。 20190623工作紀錄-不常見的NAS綁架病毒 我接到一個求救的案子，是說公司NAS被綁架，而且備份也都遭殃，快照也沒用... 一般來說NAS被綁架大多是公司內部PC或是SERVER中毒後去感染NAS上存放的檔案。 這是這CASE客戶告知盤點公司電腦沒有任何電腦中毒，這就怪了，但是還是硬著頭皮處理。 幸好駭客要的不多，兩萬台幣不到，所以跟客戶協調後客戶選擇嘗試匯款。 NAS檔案確實被加密 (我把可以辨識客戶檔案資訊給故意抹除) 駭客留下的聯繫資訊 付款後給的下載檔案畫面 解毒程式打開後有三個檔案 需要使用SSH連入執行檔案後開始解毒(檔案驗證後都可以解毒) 名世科技 20210427 編輯

關於微軟 KB4093120 重大更新 https://support.microsoft.com/zh-tw/help/4093492/credssp-updates-for-cve-2018- 0886-march-13-2018 簡單說就是微軟發現遠端桌面有重大漏洞，所以升級的加密傳輸方式。 如果伺服器跟電腦其中一個沒更新到會造成連線失敗。 故障訊息: 發生驗證錯誤 不支援要求的功能 遠端電腦: 這可能是因為CredSSP 加密 Oeacle 補救。 如需詳細資訊，請參閱 https://go.microsoft.com/fwlink/?linkid=866660 方法一 (適用緊急情況) 關閉工作站 Oracle 加密措施  I.伺服器打開系統管理範本 (執行輸入) gpedit.msc II.原則路徑：電腦設定 -> 系統管理範本 -> 系統 -> 認證委派 設定名稱： 加密 Oracle 補救 III.將設定改為”易受攻擊” 然後點選確定，即可正常連線。 方法二. 將伺服器更新到最新(根本解絕方法，但是很慢) 開啟伺服器 Windows Update > 檢查更新 > 更新 (標準IT流程，不詳述)

11/16 早上公司湧入大量電話告知EPSON印表機無法列印，當下遠端看不出問題。 後續陸陸續續電話不斷進線，才開始發覺案情並不單純。 GOOGLE後發現昨天下午開始陸續有人反應問題 https://ithelp.ithome.com.tw/questions/10187553 https://answers.microsoft.com/zh-hant/windows/forum/windows_10-hardware/%E4%BB%8A%E5%A4%A9%E6%9B%B4%E6%96%B0%E4%BA%86kb404/9c75bdc3-e531-492e-805c-2409af61fd17 https://social.technet.microsoft.com/Forums/zh-TW/aed208a5-c5d6-4930-bbe1-68cd7ee66dc1/win711kb4048957?forum=windows7cht 解決方法就是移除更新 KB4048957  以及 KB4048960 兩隻更新，如果沒更新的設定為排除更新~ WIN10名稱是 KB4048955   KB4048954 WINDOWS 2012 R2 KB4048958 KB4041777 此更新會造成遠端桌面不能印 更新移除方法 WIN10   WIN10名稱是 KB4048955   KB4048954  http://www.synnex.com.tw/asp/fae_qaDetail.asp?topic=FAE&classifyid=01462&seqno=22359 更新移除方法 WIN7 https://home.gamer.com.tw/creationDetail.php?sn=1971973 步驟1：打開控制台內的[新增移除程式]。 步驟2：在視窗左側點擊「檢視安裝的更新」並從清單中找到有附註 KB4048957 的更新項目。 步驟3：在該更新項目上按滑鼠右鍵→ 解除安裝。 如圖所示： KB4048957  以及 KB4048960 (圖片內容不同是正常的，取自網路)

此事件於 2017/05/13 清晨開始駭客發動全球性病毒感染攻擊事件。 可怕的是不需要執行任何事情都有能中毒，只要公司內部一台電腦感染即會開始感染所有電腦。感染後病毒會綁架電腦上任何檔案，並要要求被害者支付贖金拿回檔案。 目前解決方式就是安裝更新程式 (XP微軟這次破例提供更新，但建議淘汰掉，若無法淘汰請多備份) 1.先使用個人電腦下載更新程式。(或請其他已經安裝完畢同事分享隨身碟給你) 2.拔掉網路，關閉無線網路。(若無網路病毒不會執行) 3.執行更新程式，重開機完成。 (若無法安裝可能電腦已經有更新檔案) **有人問我很擔心怎辦，那就是不要上網先備份到隨身碟並不要接在電腦上** 下載更新檔案(下載後直接執行即可，下載點來自名世科技伺服器，來自微軟官方網站確認無毒。) Windows XP http://data.mstech.tw:5000/sharing/R19lZONdo Windows 2003-32位元 http://data.mstech.tw:5000/sharing/zPKsocbdA Windows 2003-64位元 http://data.mstech.tw:5000/sharing/mTZ6RxwrS Windows 7-32位元 http://data.mstech.tw:5000/sharing/8RYPniNfM Windows7-64位元 http://data.mstech.tw:5000/sharing/Ks3NfNvwB Windows 8.1-32位元 http://data.mstech.tw:5000/sharing/6R6UU5nC6 Windows 8.1-64位元 http://data.mstech.tw:5000/sharing/eRrphuaxI Windows 10 不需要安裝 (因為W10之後不能取消自動更新，會強制更新) 微軟官方還是提供更新包，不然W10強制更新太久了 Windows 10-32位元 http://data.mstech.tw:5000/sharing/NXWBSYMCL Windows 10-64位元 http://data.mstech.tw:5000/sharing/0KC9mpcqm Win 20