本周被 "想哭" 刷屏了。。。。。
尤其是单位。本周比较忙,结果周一一上班,告知单位断网,进行断网,每台电脑都要经过 IT 人员的手动检测后才允许联网。。。。
当然,除了一天不能上网外啥事都没有。。
其实,静心下来,这个勒索病毒对 windows 平台最大的启迪就是:
Windows Update 不可关闭。
为什么这说说呢,因为此病毒借用的微软漏洞其实在 3月 就发布补丁。。。。
只是没有想到这么多人都没有修复。。
PS: 另外请允许我 B4 一下出 勒索病毒数据恢复工具 的所谓安全厂商们:
你们不要赚眼球了。
强加密是无法简单破解的。
所谓的"恢复"只是简单的 文件删除恢复 罢了。原理仅仅是找回病毒删除的原文件,而不是解密。
随便找个数据恢复软件足够了。
--EOF--
作者主页: http://shlisp.ys168.com/1.acad.lsp 很多以(defun s::startup (/ old_cmd 等开头的lsp病毒代码 中毒后,打开文件自动建立acad.lsp文件等. 2.acaddoc.lsp 以 (setq flagx t) (setq bz "(setq flagx t)")开头lsp代码 中毒后acad.mnl 及cad的support下的所有lsp文件某位都加上此段病毒代码.天正等软件无法启动. 3.acad.fas 版本1 有病毒样本,完美处理. 1.病毒在启动CAD时会弹出一个显示时间并写有"党是不会亏待你"的对话框 2.注册表增加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwgrun 3.增加文件 c:\WINDOWS\system32\copyfile.vbs c:\WINDOWS\system32\copy.sys(acad.fas副本) cad安装目录,很多子目录中有acad.fas和lcm.fas文件. 版本2 : 1.注册表增加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sys: "C:\WINDOWS\system32\copyfile.vbs" 2.增加文件 系统目录中增加 winsys.ini、winfas.ini、dwgrun.bat cad安装目录,很多子目录中有acad.sys、acad.fas、acad.ini 版本3: 1.注册表增加 HKCU\Software\FileKen HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup 写入BEI_ZHU 值 20030214 2.拷贝文件 C:\Program Files\AutoCAD 2004\Fonts\isohztxt.shx (acad.fas副本) C:\WINDOWS\DivX.fin C:\WINDOWS\system32\SHFR.CMD 3.修改文件 acad.mnl文件中间增加 (setvar "cmdecho" 0) (command "slide") 结尾增加 (princ)(if (null stol) (load "lcm" "")) acad.pgp文件中间增加 『SLIDE, SHFR, 5,』 字样 4.acad.vlx 版本1 1. 打开图档会自动生成一个acad.vlx的文件 2.CAD目录的acetauto.lsp ai_utils.lsp acad.mnl文件中间被添加 (vl-file-copy(findfile(vl-list->string'(108 111 103 111 46 103 105 102))) (vl-list->string'(97 99 97 100 46 118 108 120))) 3.Help目录增加logo.gif (acad.vlx文件的副本) 版本2 1.破坏性的acad.vlx,打开CAD图纸,发现图纸上只有一句英文:MUST re_cover!以前画的图全没有了. 2.运行re_cover就可以恢复被打乱隐藏的图纸 3.全盘搜索acad.vlx删除
--EOF--