中毒记

中毒经历

从本科起到硕士研究生毕业,我大概用了六七年的 Windows 电脑。后来就一在用 Mac。折腾杀毒软件的事情一去不复返。偶尔想起,感觉像是旧时代的故事。如今还有那么多电脑病毒吗?然而,刚从 Mac 回归 Windows 不久,我就中招了。应该说,这是我唯一一次电脑中毒。

大概在几天前,想找一下 Drawboard PDF 的破解版。于是在谷歌上搜“Drawboard PDF crack”。找到了位置靠前的两个网站,发现它们的下载资源都是一样的,遂只下了其中一个网站的资源。虽然网站标的是“Drawboard PDF+crack”,但下载得到文件是几个 dll 和一个 exe,总共只有 6mb 大小。当时就感觉不太对劲,这些文件看上去不太像是过去熟悉的破解资源。双击 exe,没有什么反应,索性右键管理员运行,结果,奇怪的事情发生了。OneDrive 立即下载了十几个在云端的 Word 文档到本地。直到此时我也没有太在意。紧接着,系统内置的 Windows Defender 报毒,并自动隔离了可疑文件。此时,我才意识到,电脑可能中毒了。我赶紧下安装了卡巴斯基,执行了全盘扫描。卡巴斯基很块就发现了几个可疑文件报毒,并自动将它们删除。从样本隔离区来看,这些被隔离的 exe 的名字是随机的几个无意义的字母。

本以为事情就此结束,谁知才刚刚开始。第二天上午 10 点,我醒来看到 LinkedIn 在上午 7 点半左右连续发来的邮件:第 1 封向我发送了用于执行敏感操作的 PIN 码,第 2 封通知我,账户密码已经被修改,第 3 封又发来一个 PIN 码,第 4 封通知我,一个新的电子邮件地址已经被绑定到账户上。也就是说,我的 LinkedIn 账户已经被盗。

LinkedIn 我其实只是注册过,但从没怎么用过。账户被盗倒也没什么在意的。不过,它是怎么被盗的呢?我推测有 3 种可能:

  1. 入侵者入侵了 LinkedIn 的系统。这样,尽管在我这边需要从邮件获取执行敏感操作的 PIN 码,但他能够在系统中直接获取。

  2. 入侵者入侵了我的电脑。尽管当时我在睡觉,入侵者照样能够查看我的邮件客户端。当时我的电脑还在睡眠当中。因此,我的电脑处于锁定状态,需要输入系统 PIN 码才能进入。这意味着,入侵者能够唤醒我的电脑,并且已经获取我的系统 PIN 码。

  3. 入侵者入侵了我的邮箱账户。

我了解到 LinkedIn 曾经被入侵过,且被盗取了大量用户资料。不过,近期它似乎没有这方面的新闻。我查阅了我的邮箱账户的近期登录记录,没有发现异地登录。所以,我更倾向于认为,是我的电脑而不是 LinkedIn 的系统或我的邮箱账户被入侵了。

当天晚上,我又接连收到了 AWS 发来了的邮件。首先我的邮箱账户甲(注册了 AWS 账户 a)收到了邮件通知:AWS 已经依照“我”的请求,把我的邮箱地址更改为一个陌生邮箱地址。当我尝试用我的邮箱甲来登录 AWS,系统提示我该账户不存在了!不久,我的邮箱乙也收到了 AWS 邮件,通知我:我使用邮箱乙注册的 AWS 账户可能正在被入侵,因此暂时限制了我的账户可执行的操作,并要求我立即修改密码以及添加多重认证(MFA)。

这下我十分确定,我的电脑确实中毒了,而且危险可能并未解除,入侵者可能仍在监控我的电脑。经过简单分析,我想大概有两种情况:

  1. 入侵者在我运行病毒之后,立即获取了我存储在 Chrome 密码管理器中的所有账户和密码。然后,他挑选了他认为重要的,执行了那些操作。但是,由于我后来很久就用杀毒软件清除了病毒,所以入侵者后续没有控制我的电脑。

  2. 入侵者不但获取了我的全部账户和密码,还持续控制着我的电脑。

第 2 种情况之所以可能,是因为,如果入侵者后续没有控制我的电脑,只是在最初窃取我的账户密码,他不可能那样窃取我的 LinkedIn 账户。

补救措施

我有点慌了。如果电脑被控制,那将是多么可怕的一件事。我赶紧采取以下补救措施:

  1. 下载 360 杀毒,再执行全盘扫描,期望不同的杀毒软件可以补强杀毒能力。(当然,在执行完扫描之后,立即卸载🤣)

  2. 在资源管理器中查找并删除陌生文件。我在 \ProgramData 中找到了当时新建的一个名为“Corporation”的文件夹,其中有两个 dll 残留,经过反复单独扫描,没有发现威胁,估计是其中的危险文件已经被清除过了。我还发现,病毒将我那些从 OneDrive 中下载的十几个 Word 文档复制到了 \ProgramData 中。我怀疑这是想要劫持我的重要文件,尽管后来没有发生这样的事情。

  3. 立即在设备管理器中,禁用摄像头,并在卡巴斯基中禁止所有应用程序使用摄像头。

  4. 立即修改我常用邮箱的密码。

  5. 立即联系官方找回我被盗的账户。因为 LinkedIn 需要身份证照片,因此我放弃找回。我找回了邮箱甲注册的 AWS 账户,并按要求申请解除对邮箱乙注册的 AWS 账户的限制。还算顺利。但很快,我再次收到 AWS 发来的通知,说他们监测到我的账户可能还在被入侵。

  6. 立即修改 Windows 系统的 PIN 码。

  7. 立即修改了支付宝、淘宝、京东等账户的密码,并把支付宝的账户安全保障险的额度免费升级到了一百万。

本来还想重装系统,由于已是深夜,就只好睡觉了。为了防止入侵者在我睡觉时继续执行非法操作,我关闭了电脑(之前都是直接合上盖子使电脑睡眠)。当时想,要是入侵者还是能够继续入侵我的电脑,那可真是牛逼坏了。

当晚带着莫名的惶恐睡觉了。第三天醒来,有点不太敢看邮件,深怕又有什么账户被窃。幸好一夜安全。

第三天立即下载了 Windows 系统镜像,并重装了系统。之后,才感觉如释重负。值得一提的是,在下载系统镜像的过程中,卡巴斯基拦截了两三次非法下载操作。当时我没有执行这些操作,怀疑这是系统内的非法程序作祟。被拦截的链接看起来就不正常。

过去用了那么多年的电脑也都没中过病毒,都怀疑病毒只是个传说。这一次,有种从梦境到现实的冲击感。我第一次强烈意识到,一旦电脑中毒,可能会带来十分重大的损失。要知道,我的账户密码基本上都是弱密码,而且还有一定的编写规律,一旦其中的某些密码被窃取,其他的密码不那么难以猜测。

重装完系统后,我给 Windows 系统设置了更长的 PIN 码,并且修改了一些重要账户的密码,这次,我用密码生成器生成密码,而不是按以前的规则编写密码。我还为 Chrome 的密码管理器开启了 Windows hello 验证,任何时候填网站密码,都需要输入系统 PIN 码进行验证。

经验教训

电脑中毒就有点像身体生病,平时以为不会摊上,然而一旦摊上,就可能会有重大损失。从这次中毒经历,我得到了一些些教训:

  1. 尽量不要在不知底细的网站下载文件,特别是下载破解软件。

  2. 如果确实需要使用破解软件,在安装前最好在在线病毒扫描网站(如 virscan.org )上扫描一下。当然,对于流行软件的破解软件,比如 PS 或 Office,体积过大,在线扫描是不现实的,但在值得信任的渠道获得,一般是没问题的。

  3. 由于 Chrome 的密码管理器是以明文的形式存储所有密码的,所以,这些密码的安全性依赖 Windows 系统的安全性,一旦系统被攻破,Chrome 密码管理器就如同裸奔,所以,为 Chrome 密码管理器开启 Windows hello 验证是必要的。当然,许多人使用其他密码管理器方案。

  4. 对于重要账户,一定要设置高强度密码。可以使用密码生成器来生成所需密码。

  5. 尽量为重要账户开启 MFA,或者说两步验证。事实证明,我开启 MFA 的账户,没有发生任何异常。

  6. 对于特别重要的账户,考虑更高强度的加密方式。比如,我曾设想,建立两个文件,在一个文件中,以“fRsIvOOhlpkd $Q25JnYVku0GUZU9”形式记录。第一段密码代表一个账户名,第二段密码是实际的密码。在另一个文件中,以“Github qwert1754@gmail.com fRsIvOOhlpkd”的形式记录,第一段记录真实的账户信息,第二段记录账户信息的代码。两个文件放在不同的地方。由于我没有这样的账户(因为我是穷人),就没有这样做。

  7. 不要依赖 Windows 自带的杀毒软件。安装了卡巴斯基后,当我再次访问病毒下载页面,卡巴斯基会直接拦截,而且,卡巴斯基在谷歌搜索结果中将它们标记为危险网站,而 Windows 自带的杀毒软件当初什么也没做。

  8. 一旦怀疑中毒,最妥当的办法就是重装系统。其实,我至今并不100%确定,那几起账户异常事件与我的电脑中毒有关。没准它们只是巧合。我也不100%确定,当卡巴斯基声称清除病毒后,我的电脑是否残存病毒。但是,这些都不是关键的,关键的是,一旦怀疑中毒,必须重装系统。