随机进程名大量占用CPU
2024年2月26日,一名学弟找到了我,表示自己电脑里有进程大量占用CPU,程序名是由大小写字母、数字组成的随机内容。我询问这是否是自己编写的程序,学弟回答不是,所以判断这个程序有极大可能是病毒。
为了留存记录,我让学弟在任务管理器中右键打开程序所在的目录,拍照并关机。学弟回复打不开路径。
同时,不排除是勒索病毒正在加密文件,所以让学弟立马长按电源键强制断电,并且把笔记本带来实验室检查一下。
判断病毒类型
学弟带来笔记本以后,顺手就按下了开机键,我连忙打断施法,并且告诉他数据可能会被勒索病毒加密,要做好数据丢失的心理准备。
我在 PE 环境下想要检查文件,但是4个分区都被 BitLocker 加密了。学弟回想了一下电脑里最重要的文件,是电赛的一个文件夹,其他数据都无所谓。所以我在 PE 下把 BitLocker 解密后把这个文件夹打包,并且删除了文件扩展名,以此来绕过潜在的勒索病毒的威胁。
随后正常开机,解锁了 BitLocker ,检查个人文件发现并没有被加密,排除了病毒属于勒索病毒的可能。
杀灭程序
进程名是随机字符,所以很有可能是经过复制后的结果。打开任务管理器的进程列表,在网上搜索可能的进程名,发现 TrueUpdate Client 应该是病毒复制的源头。
这个程序存放在了公用用户的文件夹下,删掉。
再找找被复制的病毒,在 C:\ProgramData\ 文件夹下复制了不少,删掉。(有些隐藏了,有些设置了权限不容易删除)
计划任务里有不少病毒的自启动任务,删掉。
寻找病毒来源
在得到学弟的同意之后,我检查了学弟的电脑,想要看看病毒的来源。
学弟的电脑非常干净,只有嵌入式开发相关的软件,连游戏都没有。
在调查了各种软件的安装时间和来源之后,我推测,问题可能起因于从含有病毒脚本的不可靠第三方网站下载 Keil 软件时,不慎引入了恶意程序。幸运的是,迄今为止我们并未发现病毒有任何显著的破坏行为,否则个人数据恐将面临严重威胁。
再见老朋友
两天后,我拖着疲惫的身躯回到宿舍时,已经临近熄灯时刻。舍友询问拯救者玩游戏帧数只有几十,我回答是游戏内设置问题,因为他会照着抖音里一些教程修改系统设置。但同时我注意到了电脑空载时,风扇仍然保持最大转速运行,再联想到前天的经历,我打开了他的任务管理器。
果然,又是一台中毒的电脑。