系统是不是中毒了？

This topic created in 2719 days ago, the information mentioned may be changed or developed.

每次启动时，C 盘根目录下生成两个随机名字的文件夹，权限是管理员的，而且还是隐藏的

大概是这样的：setup547、Zuser396(每次重启进行换名字）

装有火绒，全盘查杀了下没有发现问题

两个文件夹内分别是随机名字的 10 个文件类型的文件

setup547 文件夹下 10 个文件为：

4nmchZf8wFf1aVJG.xlsx

37lW1l.doc

bRxnS0os8eR0QHJZk.rtf

fCsSHuq4d.docx

iha5EkDH7UkkXvom8n.xls

l1K4V.jpg

t90kLMKs6nFw.txt

Tnoc7aR3NB.mdb

Tsgdf2T.sql

YHwHFNpyE.pem

Zuser396 文件夹下 10 个文件为：

1ckScuHGPIUTfBLtStr.docx

4IRd1U.mdb

5Ohe7reTFYYgOluCMqa.xlsx

B9biW.doc

gkhaeDCEmUl.rtf

gOS0XTIKf45.pem

jpZ2GgOo8cvHsxr.xls

KuUrGc2snMxoZ.sql

vIVyYWF.txt

yEtGhByKerJSs3D2bM.jpg

文件

rtf

zuser396

setup547

16 replies • 2018-12-14 15:09:25 +08:00

runking

Dec 13, 2018

这次重启两个文件夹的名字为：program380、Ztool497，两个文件夹内文件还是分别 10 个，名字变了。

Cytion

Dec 13, 2018 via Android

你是不是装火绒了

processzzp

Dec 13, 2018 via iPhone

看样子像是火绒的勒索软件诱捕功能。

runking

Dec 13, 2018

@Cytion 就是有火绒啊

runking

Dec 13, 2018

@Cytion
@processzzp
果然是火绒

jasonyang9

Dec 13, 2018 via Android

是不是装过 RansomWare Free ？

Tink

PRO

Dec 13, 2018 via iPhone

这个和火绒有啥关系

cherbim

Dec 13, 2018 via iPhone

这是火绒的钓鱼执法官……
假装 user，setup，data 等文件夹（一般勒索病毒喜欢盯着这些文件夹），内含各种格式“重要文件”，坐等病毒上门

cherbim

Dec 13, 2018 via iPhone

@Tink 火绒一个诱捕勒索病毒功能……就是生成一堆勒索病毒重点关注的文件夹，一旦这些文件被访问，说明有病毒上钩了……

Tink

PRO

Dec 13, 2018 via iPhone

@cherbim #9 这个厉害了

silhouette

Dec 13, 2018 via Android

有点东西

boris1993

Dec 13, 2018 via Android

hhhhhh 火绒钓鱼执法还行

Trumeet

Dec 13, 2018 via Android

想起了以前也出现过，当时吓坏了，还以为是病毒。。最后整了半天，忘记装没装火绒了，可能是它的锅

cxh2000210

Dec 14, 2018 via Android

钓鱼执法还行，不过这个钓法也不错（

lianggexp

Dec 14, 2018 via iPhone

@cherbim 最后发现都是 explorer.exe 在访问这些文件🌚

etnperlong

Dec 14, 2018

火绒钓鱼执法可还行哈哈哈哈