好的。抓紧你的帽子!这听起来很疯狂,但我被一些疯狂的黑客恶意软件攻击了。我相信它始于对我的 Widoze 10 Home 分区的无文件攻击,并从那里传播开来。疯狂的是,它似乎预料到或预测到我的举动,并且总是领先我一步。我注意到,当系统时间改变时,我被感染了,然后事件查看器中的文件日期和事件被设置为未来或过去的日期,不是昨天或上周,而是 2125 年和 1960 年代。我安排了一个任务,当某些事情发生时打开一个 cmd 窗口,而 Windows PowerShell 打开并运行狡猾的脚本作为后台进程不断触发该任务。不是我的脚本!然后,临时文件开始被未显示在任务管理器中的神秘进程写入和访问。
那么,你会问,这一切与 Ubuntu 有什么关系?让我来告诉你。感觉“我搞定了”,我立即在一台被认为是干净的 PC 上安装了 Antivirus Rescue 启动 USB 和 Ubuntu Live USB。我用 4-5 种不同的防病毒程序扫描(是的,我也试过 Clamav)没有帮助——两台 PC 一次又一次地显示干净,但恶意软件的存在和影响是显而易见的。让我头疼的是,在启动到 Live Ubuntu 几次后,“只读”USB 棒上的内容被更改了。一次启动没问题,然后在下一次从该 Live USB 启动时,键盘不会向屏幕上的终端发送任何输入。我立即再次使用另一个 Live USB 启动——问题解决了。我用 clamav 检查了可疑的 USB,它显示所有文件都“正常”。然后我从可疑的“干净”USB 启动,一切又正常了。
我对此感到力不从心。这是一种严重的恶意软件,似乎没有文件,会感染 BIOS/UEFI、Windows、Linux 和引导记录以及 /dev/sdx 的其他暗分区和空间。
问题 - 我从未遇到过任何可能/会攻击 Linux 启动 Live 系统 USB 的程序。这是怎么发生的?有没有什么方法可以恢复并制作一个“安全”的 Live USB 启动设备,不会再发生这种情况?此外,我可以清理并使用当前的“可疑”实时系统 USB 在我的 /dev/sdx 上安装 Ubuntu,而不必担心我正在安装损坏和受感染的系统吗?不幸的是,clamav 没有帮助,病毒在系统运行时阻止其更新。有一次它只是删除了源文件并 chmod 了与 clam 相关的 /var/lib/clamav 中的所有权限。现在我有两台死机、受感染的计算机、两台“可疑”受感染的 Live USB 和一台受感染的 Windows ISO 安装 USB。现在我有什么办法可以安装任何操作系统,如果可以,怎么做?我没有其他电脑,如果有,我该如何修复 BIOS、MBR/UEFI、分区和 Live USB 作为我唯一的安装媒体?我可以使用受感染的媒体启动并从在线来源干净地安装吗? --帮忙!感谢您阅读我的噩梦,并提前感谢您提供的任何建议或意见!
答案1
最后,我不得不联系并聘请安全专家来保护我的网络,并找出问题并根除它们。以下是我们发现的情况。路由器确实被感染了,需要重新刷新并重置为默认值,然后设置最大安全选项(防火墙、端口关闭等)。此外,4 台笔记本电脑中有 2 台感染了 Windows 和 Linux 的 BIOS 级病毒,5 台 Android 中有 4 台被感染并需要恢复出厂设置,一台 Android 似乎在多次恢复出厂设置后仍受到严重感染 - 它将被丢弃。一台工作笔记本电脑被感染,需要重新刷新、清除并重新安装。在与该笔记本电脑相关的地方发现了 coauth.exe 病毒。所以,简而言之,有人严重欺骗了我。我承认我曾和我的专家开玩笑说我们是否可以“黑回去”并开始破坏他们的硬件和软件。那会很有趣……“哦不,我的 PowerShell 脚本不起作用”——黑客可能会说。
所以,为了记录,事情是这样的。我被几个木马感染了(一个是 Brave_Updater.exe,另一个是 coauth.exe),这些木马为 Windows 中的无文件攻击提供了脚本,在 Windows 10 安装期间禁用了 Windows Defender,然后继续使用隐藏的“PowerShell”和“命令提示符”运行来传播感染。重新启动时,它会将代码写入 BIOS,感染下一个加载 Windows 或 Linux 的操作系统或 USB。最后,它会频繁地打电话回家,从黑客那里获取 C&C 指令。真是令人头疼。我倾向于相信因果报应,黑客,你得罪了——享受监狱生活,不要把肥皂扔掉……再想想,继续扔吧,你活该。完蛋了。