V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kangod
V2EX  ›  信息安全

收到未知邮件别乱打开,小心中病毒,曝光这家公司

  •  1
     
  •   kangod · 2023-11-27 11:55:32 +08:00 · 11743 次点击
    这是一个创建于 391 天前的主题,其中的信息可能已经有所发展或是发生改变。

    2023 年 11 月 24 日收到一封邮件,我是公司法人,点开看看发票不过分吧?(虽然我从来不管公司的业务) 第一次在 V 站发贴,不知道怎么发图,我发文字算了。

    收到邮箱如下:

    flourishingmax11 发给 yxxxxx     2023-11-24 09:35 
    发件人请求阅读收条,您愿意发送收条吗? <button>发送</button> 
    购方名称: 北京 xxxx 信息技术有限公司
    开票日期:2023-11-23
    发票代码:033022200111
    开票金额:978.00 元
    发票号码:30297846
    发票 PDF:下载发票
    

    点击下载发票,跳转到了一个页面,是一个存储到 QQ 邮箱中转站的 zip 文件,打开 zip 里面是一个chm 文件,点击打开没什么反应,就是屏幕闪烁了一下。我看没什么作用,还手贱多点了几次,还是没什么东西出来,我就没管了。

    今天突然发现笔记本电脑摄像头自动打开了,然后我就打开 windows 相机隐私设置,发现有一个应用打开了我的摄像头,是一个svchost.exe文件,鼠标移动到文件上面,还出现了公司信息:杭州诸相网络科技有限公司。

    我 google 之后发现这家公司有很大的问题,一份浙江省通信管理局通报存在问题的应用软件名单:

    序号 应用名称 应用开发者 应用来源 应用版本 所涉问题
    50 虚贝租号 杭州诸相网络科技有限公司 应用宝 2.9.0 违规收集个人信息

    还有一则新闻:

    近日,家住广州的陈先生向南都记者报料,其 14 岁的孩子近期多次通过“虚贝租号”网站,购买已完成人脸识别的游戏账号,借此绕开防沉迷系统。“虽然每次金额不大,但隔三差五在学习时间花一、两个小时玩游戏,是否会对孩子的学习及身心健康造成影响?”陈先生向南都记者表达了担忧。

    这家公司在做什么事情,不用我多说了吧,请大家避雷。

    svchost.exe 文件正常是删不掉,系统提示被占用不能删,我进 PE 系统把它删掉了已经,过几天看看还有没有问题吧

    77 条回复    2023-12-02 06:21:08 +08:00
    dsb2468
        1
    dsb2468  
       2023-11-27 11:59:51 +08:00
    签名都会存在盗用的可能性,公司信息更是可以随便写了。。。

    你现在需要检查的是电脑中的远控木马,黑客现在已经进入你电脑了,你要小心公司重要数据泄密、勒索等一系列情况。

    联系安全厂商检查电脑吧。

    你用的什么安全软件,打开恶意 chm 文件都没拦截提示么?
    dsb2468
        2
    dsb2468  
       2023-11-27 12:00:21 +08:00
    你看到的那个 svchost.exe ,只是用来加载恶意 DLL 的
    kangod
        3
    kangod  
    OP
       2023-11-27 12:02:40 +08:00
    @dsb2468 我靠,这么严重吗,我没装任何安全软件,windows 自带的都被我禁了 QAQ
    kangod
        4
    kangod  
    OP
       2023-11-27 12:03:54 +08:00
    @dsb2468 意思是这家公司可能是被我冤枉了吗?说起来确实也挺奇怪的,为什么公司信息直接写在文件上
    des
        5
    des  
       2023-11-27 12:04:30 +08:00 via iPhone
    安全意识有待提高,chm 中毒就不说了,毕竟不是所有人都有相关知识。
    不明来源文件点开没反应居然好久没意识到有问题
    还有中病毒了居然想着删文件就好了,重装系统吧,不让钱丢了都不知道怎么丢的
    Ghostsss
        6
    Ghostsss  
       2023-11-27 12:09:38 +08:00   ❤️ 3
    上周遇到过的情景:通过邮件发送的压缩包,内部伪装成 dmg 里面又套了 msi 。这位人员刚开始以为是重要资料,就点开了,也是闪了一下就没了。好的一点是这位人员有良好的安全意识,直接上报了。后来我们这边特意测试了下,安全软件真就一个都没起效,就很奇怪。
    des
        7
    des  
       2023-11-27 12:12:11 +08:00 via iPhone   ❤️ 1
    还有听你的描述感觉像是被人盯上了…
    建议你把密码什么的全都改了,记得不要在这台电脑上操作
    估计你电脑上的所有东西都泄漏了,拿你的信息去做什么事就不知道了
    llllker
        8
    llllker  
       2023-11-27 12:14:51 +08:00   ❤️ 21
    这不就是之前 gpt 哥撕逼的公司吗 /t/966984
    des
        9
    des  
       2023-11-27 12:15:23 +08:00 via iPhone
    @Ghostsss 很正常,现在很多电脑都会做免杀的
    des
        10
    des  
       2023-11-27 12:15:57 +08:00 via iPhone
    @Ghostsss 很正常,现在很多电脑病毒都会做免杀的
    kangod
        11
    kangod  
    OP
       2023-11-27 12:17:11 +08:00
    @des 我哭辽。。好吧,看来只能重装系统了,这样想想感觉这个故意透露的公司名称,可能就是想让我放松警惕,不要采取什么其他措施,才整出来的。总之安心一点我还是重装系统吧。
    kangod
        12
    kangod  
    OP
       2023-11-27 12:22:21 +08:00
    @justxiaoxiao 我 google 这家公司的时候,也看到这条帖子了,好像还挺火的。。。我不说了,我去重装系统了。。。
    xmh51
        13
    xmh51  
       2023-11-27 12:37:26 +08:00   ❤️ 1
    重装系统,基本的安全软件还是装一下。比如火绒
    dsb2468
        14
    dsb2468  
       2023-11-27 13:00:42 +08:00 via iPhone
    @kangod 你可以把 chm 打包传到网盘上,然后发到这里
    danbai
        15
    danbai  
       2023-11-27 13:12:55 +08:00 via Android
    @justxiaoxiao 有点巧哦
    opengps
        16
    opengps  
       2023-11-27 13:19:32 +08:00   ❤️ 2
    svchost.exe 是 windows 系统进程,但内部加载执行了什么命令就说不准了
    Alexsen
        17
    Alexsen  
       2023-11-27 13:22:56 +08:00
    杭州诸相网络科技有限公司?这不是之前挺火的
    leonshaw
        18
    leonshaw  
       2023-11-27 13:44:54 +08:00
    @justxiaoxiao 我说怎么有点印象
    kangod
        19
    kangod  
    OP
       2023-11-27 13:45:28 +08:00
    @dsb2468 好主意,我在附言上面添加一下,它这个文件本来就相当于存在网盘上的,是存在 QQ 邮箱中转站文件里面的,我把链接给一下
    icyalala
        20
    icyalala  
       2023-11-27 13:53:00 +08:00   ❤️ 1
    都是公司法人了,安全意识都这么差?
    你就当这台电脑上的所有资料,包括各种密码都被偷了。在这个假设上亡羊补牢。
    thinkm
        21
    thinkm  
       2023-11-27 13:55:03 +08:00
    卡巴斯基未报毒
    lambdaq
        22
    lambdaq  
       2023-11-27 13:55:46 +08:00
    诸相网络啊。。。也是 V 站老熟人了

    /t/966984

    /t/966243
    wdlth
        23
    wdlth  
       2023-11-27 14:21:14 +08:00
    CHM 解压出来是个很大的 HTML ,unescape 后扫描结果是这个:
    https://www.virustotal.com/gui/file/d5273546aeacccc35c22c6c48c726619fc8e8faad92632cf2d561da705c58ddb/detection
    fzls
        24
    fzls  
       2023-11-27 14:39:42 +08:00
    你胆子好大,陌生邮件里的福建居然敢下载后并解压双击里面的文件🤣很容易中毒的,很多病毒后缀特意不写 exe ,改成图片之类的后缀
    fzls
        25
    fzls  
       2023-11-27 14:41:28 +08:00
    @wdlth #23 卧槽,一片红啊
    R18
        26
    R18  
       2023-11-27 14:44:35 +08:00
    InDom
        27
    InDom  
       2023-11-27 14:55:08 +08:00   ❤️ 3
    那么,接下来的故事,应该是这样的:

    Hi there!

    Unfortunately, I need to start our conversation with bad news for you.
    Around few months back I managed to get full access to all devices of yours,
    which are used by you on a daily basis to browse internet.
    Afterwards, I could initiate monitoring and tracking of all your activities on the internet.

    I am proud to share the sequence of how it happened:
    In the past I bought from hackers the access to various email accounts (today, that is rather a simple thing to do online).
    Clearly, it was not hard at all for me to log in to your email account (...).

    A week after that, I had already managed to effortlessly install Trojan virus to Operating Systems of all devices that are currently in your use,
    and as result gained access to your email.
    To be honest, that was not really difficult at all (because you were eagerly opening the links from your inbox emails).
    I know, I am a genius. ~-~

    With help of that software, I can gain access to all controllers in your devices (such as video camera, keyboard and microphone).
    As result, I downloaded to my remote cloud servers all your personal data, photos and other information including web browsing history.
    Likewise, I have complete access to all your social networks, messengers, chat history, emails, as well as contacts list.
    My intelligent virus unceasingly refreshes its signatures (due to its driver-based nature), and hereby stays unnoticed by your antivirus software.

    Herbey, I believe that now you finally start realizing how I could easily remain unnoticed all this while until this very letter...
    While collecting information related to you, I had also unveiled that you are a true fan of porn sites.
    You truly enjoy browsing through adult sites and watching horny vids, while playing your dirty solo games.
    Bingo! I also recorded several filthy scenes with you in the main focus and montaged some dirty videos,
    which demonstrate your passionate masturbation and cum sessions.

    In case you still don't believe me, all I need is just one-two mouse clicks to make all your unmasking videos become available to your friends,
    colleagues, and even relatives.
    Well, if you still doubt me, I can easily make recorded videos of your orgasms become a public.
    I truly believe that you surely would avoid that from happening, taking in consideration the type of the XXX videos you love watching,
    (you are clearly aware of what I mean) it will result in a huge disaster for you.

    Well, there is still a way to settle this tricky situation in a peaceful manner:
    You will need to transfer $950 USD to my account (refer to Bitcoin equivalent based on the exchange rate at the moment transfer),
    so once funds transfer is complete, I will straight away proceed with deleting all that dirty content from servers once and for all.

    Afterwards, you can consider that we never met before. You have my honest word,
    that all the harmful software will also be deactivated and deleted from all your devices currently in use. Worry not, I keep my promises.
    That is truly a win-win solution that comes at a relatively reduced cost,
    mostly knowing how much effort I spent on monitoring your profile and traffic for a considerably long time.
    In event that you have no idea about means of buying and transferring bitcoins -
    don't hesitate to use any search engine for your assistance (e.g., Google, Yahoo, Bing, etc.).

    My bitcoin wallet is as follows: xxxxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxxx
    An important notice: I have specified my Bitcoin wallet with "-" symbols,
    hence once you carry out a transfer, please make sure that you key-in my bitcoin address without "-" to be sure that your funds successfully reach my wallet.
    I have allocated 48 hours for you to do that, and the timer started right after you opened this very email (2 days to be exact).

    Don't even think of doing anything of the following:
    ! Abstain from attempting to reply me (this email was created by me inside your inbox page and the return address was generated accordingly).
    ! Abstain from attempting to get in touch with police or any other security services. Moreover, don't even think of sharing this to you friends.
    Once I discover this (apparently, that is absolutely easy for me, taking in consideration that I have complete control over all systems you use) -
    kinky video will straight away be made public.
    ! Don't even think of attempting to find me - that is completely useless. Don't forget that all cryptocurrency transactions remain completely anonymous.
    ! Don't attempt reinstalling the OS on all your devices or getting rid of them. That won't lead you to success either,
    because I have already saved all videos at my remote servers as a backup.

    Things you should not be concerned about:
    ! That your funds transfer won't reach my wallet.
    - Worry not, I can see everything, hence after you finish the transfer, I will get a notification right away
    (trojan virus of mine uses a remote-control feature, which functions similarly to TeamViewer).
    ! That I
    wdlth
        28
    wdlth  
       2023-11-27 14:55:38 +08:00
    @fzls 这还只是一个 Loader ,真正执行的还在后面。
    clorischan
        29
    clorischan  
       2023-11-27 15:51:02 +08:00
    https://imgur.com/a/QsZqLmN.jpg
    点下载 WD 直接就给干掉了
    twofox
        30
    twofox  
       2023-11-27 15:55:10 +08:00   ❤️ 1

    怎么跟我之前看到的新闻一模一样

    大概就是你这样,点了邮件,中了病毒
    然后,通过远程控制,伪造自己事老板,然后让会计转钱

    你既然都是法人了,那么建议你跟手下的人说一下,最近转钱的事情,要当面或者电话确认
    twofox
        31
    twofox  
       2023-11-27 15:59:03 +08:00
    https://www.163.com/dy/article/IK8M0SM80511A5GF.html

    想起来了,是在火绒安全公众号看见的,这是新闻原本链接
    wdlth
        32
    wdlth  
       2023-11-27 16:15:39 +08:00
    dsb2468
        33
    dsb2468  
       2023-11-27 16:35:00 +08:00   ❤️ 1
    dsb2468
        34
    dsb2468  
       2023-11-27 16:36:59 +08:00   ❤️ 2
    从这个病毒的配置文件来看,属于国内的小黑客(关键字 sb360qunimade )

    C:\Users\%USERNAME%\AppData\Local\VirtualStore

    Foolish.png=Foolish.png

    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/wps.txt=svchost.exe
    https://dlltemasil.oss-cn-hongkong.aliyuncs.com/libcef.dll=libcef.dll
    https://platformi.oss-cn-hongkong.aliyuncs.com/Foolish.dat=Foolish.dat
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/ApexFramework_x86.dll=ApexFramework_x86.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/AudioLib.dll=AudioLib.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/CertLib.dll=CertLib.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/CrashRpt1403.dll=CrashRpt1403.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/d3dx9_42.dll=d3dx9_42.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/FreeImage.dll=FreeImage.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/IMProtocol.dll=IMProtocol.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/ImShareUtil.DLL=ImShareUtil.DLL
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/libcrypto-1_1.dll=libcrypto-1_1.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/libcurl.dll=libcurl.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/libexpat.dll=libexpat.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/libogg.dll=libogg.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/libssl-1_1.dll=libssl-1_1.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/libvorbis.dll=libvorbis.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/libvorbisfile.dll=libvorbisfile.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCP120.dll=MSVCP120.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCR71.dll=MSVCR71.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCR90.dll=MSVCR90.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/MSVCR120.dll=MSVCR120.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/Physics.dll=Physics.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/PhysX3_x86.dll=PhysX3_x86.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/PhysX3Cooking_x86.dll=PhysX3Cooking_x86.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/PxFoundation_x86.dll=PxFoundation_x86.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/PxPvdSDK_x86.dll=PxPvdSDK_x86.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/ResLib.dll=ResLib.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/ScanEngine.dll=ScanEngine.dll
    https://sb360qunimade.oss-cn-hongkong.aliyuncs.com/steam_api.dll=steam_api.dll
    shenjinpeng
        35
    shenjinpeng  
       2023-11-27 16:40:02 +08:00
    身边做财务的朋友已经有几个中招了, 听说是远程控制电脑微信群发 , chm 和 vbe 格式
    nocmt
        36
    nocmt  
       2023-11-27 16:42:02 +08:00
    @kangod #3 这... 就这么有勇气?
    dsb2468
        37
    dsb2468  
       2023-11-27 17:11:47 +08:00
    @wdlth 上面这一堆,免杀做得不错,VT 基本是 0
    qiaofanxing
        38
    qiaofanxing  
       2023-11-27 17:20:56 +08:00
    @dsb2468 #37 我用卡巴试了一下,被杀了。有没有胆子大的试试别家的
    asm
        39
    asm  
       2023-11-27 17:28:39 +08:00   ❤️ 5
    下载了一坨多益游戏的文件,不过有三个感觉是恶意的。典型的白加黑,先加载 libcef.dll ,之后加载,Foolish.png 和 Foolish.dat 。特别是 libcefl.dll ,算是源码级的免杀了。
    Foolish.png 被解密出一个 pe 文件,看 pdb 文件,
    E:\2023-TianMa~\TMAir_Ghost10.0_dev_vs2022 标记 v4.5.0\TMAir_Ghost10.0_dev_vs2022\dependencies\include\fmt\core.h

    算是 gh0st 的改版的远控了。
    这一系列算是这两年特别出名的,银狐干的。这个名字没有个准确的组织,算是这一系列的总成。

    重装系统吧。虽然没找到有什么特殊的自启动,毕竟心里安心。
    kangod
        40
    kangod  
    OP
       2023-11-27 17:56:14 +08:00 via iPhone
    各位大佬好厉害…涨知识了,已经重装系统了,现在还在安装软件
    dsb2468
        41
    dsb2468  
       2023-11-27 18:01:55 +08:00
    @kangod 手机上的微信,最好改密后、退出重新下。
    restkhz
        42
    restkhz  
       2023-11-27 19:07:23 +08:00
    下载链接失效,谁补一下?我最近在研究逆向工程,想找个样本玩玩。
    shalingye
        43
    shalingye  
       2023-11-27 19:19:23 +08:00 via Android
    密码口令都要去改了,有的病毒不止是本身,还拖家带口其他病毒过来,可以把 chromium 系存的密码都拿走。
    deorth
        44
    deorth  
       2023-11-27 19:21:41 +08:00 via Android
    你咋不把 explorer.exe 删了呢
    netabare
        45
    netabare  
       2023-11-27 19:26:40 +08:00 via iPhone   ❤️ 1
    看到 chm 文件就应该意识到是恶意邮件了吧
    yumusb
        46
    yumusb  
       2023-11-27 19:49:03 +08:00
    1. 银狐木马家族的新变种。
    2. 攻击者使用那个邮箱发给你,不排除那个邮箱是失陷的。
    3. 这个家族的特征算是比较固定,清理即可,不需要重装。
    luhe
        47
    luhe  
       2023-11-27 19:56:47 +08:00 via iPhone
    突然在想我有没有什么时候点过什么,中毒了还不自知……
    BlueHat514
        48
    BlueHat514  
       2023-11-27 20:04:18 +08:00
    这些病毒有老哥有源代码吗?想学习一下思路.......
    crsmk01
        49
    crsmk01  
       2023-11-27 20:15:20 +08:00
    @dsb2468 根据 OSS 这个 bucket 的名称可以找到这个阿里云账号,看看能不能让网警联系阿里云,冻结这个 oss bucket 及账号
    doctorlai
        50
    doctorlai  
       2023-11-27 20:20:19 +08:00
    首先。。为什么要点击链接?
    tyrantZhao
        51
    tyrantZhao  
       2023-11-27 20:34:21 +08:00
    不能点击未知链接是常识,毕竟坏人太多。
    ouqihang
        52
    ouqihang  
       2023-11-27 20:39:46 +08:00 via Android
    @BlueHat514 程序编译了打包进 JS 了。
    ixdeal
        53
    ixdeal  
       2023-11-27 20:59:38 +08:00
    https://v2ex.com/t/995012#reply4 我就知道会有人提起这个问题,只是我一直没问题,也不知道怎么回事。
    frankilla
        54
    frankilla  
       2023-11-27 21:26:11 +08:00
    未知邮件我本就一律删除看都不看。自己是否使用了邮件或者跟别人交代了你的邮件本人肯定知道啊。
    kangod
        55
    kangod  
    OP
       2023-11-27 21:30:55 +08:00 via iPhone
    @restkhz 我重装系统文件已经没了,看看其他人还有没有。3 天过去了都没失效,突然这时候失效,这小子估计也上 V 站
    Ericcccccccc
        56
    Ericcccccccc  
       2023-11-27 21:35:28 +08:00
    看到 8 楼, 怎么还是连续剧...
    billowssun123
        57
    billowssun123  
       2023-11-27 21:46:35 +08:00
    我以为只有大叔大伯会去点。,。。
    luckykong
        58
    luckykong  
       2023-11-27 21:46:57 +08:00
    @kangod #55 不一定,可能仅仅是访问次数、频率到了而已。。
    另外,电脑重装已经不重要了,抓紧跟公司财务、银行联系一下,在资金流动上多用点心,多加点防备措施。 你如果不是公司重要成员,抓紧把公司法人推掉吧。你搞这么一出,不管是对你,还是对公司,都很危险。。
    Admstor
        59
    Admstor  
       2023-11-27 21:53:24 +08:00
    槽点满满
    sleepingdog
        60
    sleepingdog  
       2023-11-28 06:10:26 +08:00
    @Ericcccccccc #56
    @dsb2468 #33
    @lambdaq #22
    @justxiaoxiao #8

    我重新吃完 GTP 哥的瓜(果然是老早就吃过的)
    感觉这个黑客哥应该是个绿林好汉,它所指向的网站“诸相网络”大概是放出来的烟雾弹。
    的确是个好思路,拉完 shit 之后用这些黑名单做厕纸,顺手增加不良公司的曝光率~

    (相信又不少人和我一样又重新回味了一遍,或者第一次了解到什么是诸相网络,什么是虚贝租号。——帖子里的老哥们都疯狂增加这几个词的 SEO 。故事的主角 GPT 哥是刻板印象中的老实技术男,作为吃瓜群众,看完整个剧情之后只能“哀其不幸怒其不争”。然而,我相信更多的人从故事中看到另一个可能的自己,一个被其他人 PUA 过的自己,一个曾相信技术改变世界的自己)


    如果这类技术大佬走梁山路,希望他们的屠龙刀不要指向弱者,当然更不要中了预言——屠龙勇士变恶龙。
    (既然 GPT 哥事件起源 V2 ,有理由怀疑做这件事的好汉也很可能会看到这个帖子)
    www5070504
        61
    www5070504  
       2023-11-28 09:52:24 +08:00
    重做系统也记得硬盘重新分区一下
    Giftina
        62
    Giftina  
       2023-11-28 09:57:16 +08:00
    这是经典的 c&c 远控,chm 里嵌 js ,拉起 PowerShell 关闭.net 安全校验,.net 下载白 dll 和黑负载,白加黑绕过杀软最终加载进系统潜伏,拉屎还是偷鸡摸狗就看控制者的玩法了,看网上说基本上是当大批量肉鸡卖,中招了如果没有备份一般建议是直接重装
    Promtheus
        63
    Promtheus  
       2023-11-28 10:13:29 +08:00
    长知识了。
    pkoukk
        64
    pkoukk  
       2023-11-28 10:26:27 +08:00
    我 2006 年第一次中毒被盗号,就是收到了同学发给我的 chm ,说这本书很好看,点开闪了一下就没了
    没想到 2023 年还能看到文艺复兴
    OwenY
        65
    OwenY  
       2023-11-28 10:41:06 +08:00
    @dsb2468 #33 我去,老哥,点开这个链接不会出什么问题吧,点开鼠标开始转圈了
    Heimo
        66
    Heimo  
       2023-11-28 11:02:44 +08:00
    文件已过期或已被删除
    dsb2468
        67
    dsb2468  
       2023-11-28 11:03:37 +08:00
    @OwenY 不会,那个只是阿里的 OSS 存储服务,单纯访问是安全的。目前小黑客已经把配置文件下线了。
    sssbbb
        68
    sssbbb  
       2023-11-28 11:27:19 +08:00
    看描述是银狐木马,最近特别流行,下载器使用白加黑,木马程序也是白加黑,杀软基本没用,主要靠 IP 或者域名情报监测,传播方式主要为邮件或者微信群钓鱼,你遇到到的是最典型的发票邮件钓鱼。检查一下 C:\Users\Public\Downloads 下有没有蓝色小马图标 exe
    keymao
        69
    keymao  
       2023-11-28 11:29:55 +08:00
    重要资产竟然连 defender 都禁用。。 这不是又菜又爱玩么。。。 上网习惯良好不代表不会掉坑里。 本站还有很多类似把 update 和 defender 都禁用,但是又什么都不安装的裸奔人士, 做黑产的可太喜欢这些人了,免杀都省的做了。
    uni
        70
    uni  
       2023-11-28 11:35:38 +08:00
    哈哈哈抱歉楼主,想到这病毒搞这么一大圈就为了刷你的脸给小学生玩游戏,这我有点被笑道
    Ashore
        71
    Ashore  
       2023-11-28 11:38:54 +08:00
    @justxiaoxiao 原来是这样,我说怎么看着有点眼熟
    t133
        72
    t133  
       2023-11-28 12:03:22 +08:00 via iPhone
    开了 UAC 吗 还是提权你给同意了?
    没触发 UAC 的话有点厉害的
    sloknyyz
        73
    sloknyyz  
       2023-11-28 12:40:38 +08:00
    @t133 Windows 绕 uac 不要太简单。op 也是 nb ,不明白的发件人发的东西都敢点,敢下载,敢执行。不中招都不行了。
    onice
        74
    onice  
       2023-11-28 16:49:21 +08:00
    op 厉害了,电脑不安装任何安全软件,,还是公司法人。

    就不怕公司机密泄露么。老牌安全软件 nod32 淘宝蓝蝶买正版八九多就能用三年。卡巴斯基一百多也能用三年。

    幸好数据没被加密。不然就只能等着交赎金。
    FreeWong
        75
    FreeWong  
       2023-11-28 17:20:32 +08:00
    @lambdaq 真的感激,可以避免别人掉坑里
    cxy2244186975
        76
    cxy2244186975  
       2023-12-02 06:18:53 +08:00 via iPhone
    chm 、我当时就笑了/
    cxy2244186975
        77
    cxy2244186975  
       2023-12-02 06:21:08 +08:00 via iPhone
    @sleepingdog 看到这里绷不住了/hh
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1616 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 16:28 · PVG 00:28 · LAX 08:28 · JFK 11:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.