就在今天下午,小天正在用一台公用Win 7笔记本敲代码的时候,屏幕突然一黑——中毒了。这篇文章就当作是一个记录,顺带给中了同样病毒的朋友一些参考价值。
简述
大概介绍一下当时的状况。当时我打开了火绒,准备打开其修复漏洞的功能。正当我点击"开始扫描”按钮不久后,电脑突然黑屏(火绒是不是有神奇buff,准备修复漏洞的时候病毒就来了😂)。
然后漆黑的屏幕上出现了一行大大的红字:I am a virus!Fuck you :-) (中文:我是病毒!Fuck you)
分析
遇到这个问题后呢,小天就开始找病毒相关信息了(突然感觉Windows好脆弱啊😂)。
经过一番查找,小天发现这台电脑中的病毒名叫“gho0st”,最早出现在2008年(这台电脑真的是有很多补丁没打,幸亏不是我自己的电脑)。主要存在于许多知名Ghost恢复PE中,在用户重装系统时进入电脑。另外,据小天的了解,这似乎是一个远控(黑客可以远程控制你的电脑)木马。
这个病毒在发作时会修改电脑MBR引导数据,导致系统无法正确引导。同时也会对硬盘分区进行修改(具体做了什么不明,但是基本上小白遇见了就只能格盘重装系统了)。
可能还有些朋友不知道何为MBR,那我就来科普一下,大牛请跳过此段:
MBR,Main Boot Record 主引导记录区。简单来说可以理解为一个说明书,它可以告诉你的电脑怎样做才可以正确加载你的系统。而如果这个MBR被恶意篡改的话,你的电脑启动时就无法引导你的系统,导致电脑无法正确开机。当然,这种东西一般只有操作系统自己以及病毒才会去更改,普通用户一般是接触不到的。
解决方案
一般来说,你重装一下系统就行。而你的硬盘数据如果不出意外的话会被上锁,基本上只能格式化了(如果有这方面的大佬的话不妨支支招)。另外,根据网上一些资料,已经中招的朋友可以在启动盘下的CMD中运行下面这段代码:
fdisk /mbr
注:小天并没有使用过这段代码,请各位谨慎使用。
当然了,我们最好还是防范于未然。及时升级杀毒软件的病毒库,少从不明网站下载软件。
对了,不要用Ghost装系统。
