中毒记
中毒经历
从本科起到硕士研究生毕业,我大概用了六七年的 Windows 电脑。后来就一在用 Mac。折腾杀毒软件的事情一去不复返。偶尔想起,感觉像是旧时代的故事。如今还有那么多电脑病毒吗?然而,刚从 Mac 回归 Windows 不久,我就中招了。应该说,这是我唯一一次电脑中毒。
大概在几天前,想找一下 Drawboard PDF 的破解版。于是在谷歌上搜“Drawboard PDF crack”。找到了位置靠前的两个网站,发现它们的下载资源都是一样的,遂只下了其中一个网站的资源。虽然网站标的是“Drawboard PDF+crack”,但下载得到文件是几个 dll 和一个 exe,总共只有 6mb 大小。当时就感觉不太对劲,这些文件看上去不太像是过去熟悉的破解资源。双击 exe,没有什么反应,索性右键管理员运行,结果,奇怪的事情发生了。OneDrive 立即下载了十几个在云端的 Word 文档到本地。直到此时我也没有太在意。紧接着,系统内置的 Windows Defender 报毒,并自动隔离了可疑文件。此时,我才意识到,电脑可能中毒了。我赶紧下安装了卡巴斯基,执行了全盘扫描。卡巴斯基很块就发现了几个可疑文件报毒,并自动将它们删除。从样本隔离区来看,这些被隔离的 exe 的名字是随机的几个无意义的字母。
本以为事情就此结束,谁知才刚刚开始。第二天上午 10 点,我醒来看到 LinkedIn 在上午 7 点半左右连续发来的邮件:第 1 封向我发送了用于执行敏感操作的 PIN 码,第 2 封通知我,账户密码已经被修改,第 3 封又发来一个 PIN 码,第 4 封通知我,一个新的电子邮件地址已经被绑定到账户上。也就是说,我的 LinkedIn 账户已经被盗。
LinkedIn 我其实只是注册过,但从没怎么用过。账户被盗倒也没什么在意的。不过,它是怎么被盗的呢?我推测有 3 种可能:
-
入侵者入侵了 LinkedIn 的系统。这样,尽管在我这边需要从邮件获取执行敏感操作的 PIN 码,但他能够在系统中直接获取。
-
入侵者入侵了我的电脑。尽管当时我在睡觉,入侵者照样能够查看我的邮件客户端。当时我的电脑还在睡眠当中。因此,我的电脑处于锁定状态,需要输入系统 PIN 码才能进入。这意味着,入侵者能够唤醒我的电脑,并且已经获取我的系统 PIN 码。
-
入侵者入侵了我的邮箱账户。
我了解到 LinkedIn 曾经被入侵过,且被盗取了大量用户资料。不过,近期它似乎没有这方面的新闻。我查阅了我的邮箱账户的近期登录记录,没有发现异地登录。所以,我更倾向于认为,是我的电脑而不是 LinkedIn 的系统或我的邮箱账户被入侵了。
当天晚上,我又接连收到了 AWS 发来了的邮件。首先我的邮箱账户甲(注册了 AWS 账户 a)收到了邮件通知:AWS 已经依照“我”的请求,把我的邮箱地址更改为一个陌生邮箱地址。当我尝试用我的邮箱甲来登录 AWS,系统提示我该账户不存在了!不久,我的邮箱乙也收到了 AWS 邮件,通知我:我使用邮箱乙注册的 AWS 账户可能正在被入侵,因此暂时限制了我的账户可执行的操作,并要求我立即修改密码以及添加多重认证(MFA)。
这下我十分确定,我的电脑确实中毒了,而且危险可能并未解除,入侵者可能仍在监控我的电脑。经过简单分析,我想大概有两种情况:
-
入侵者在我运行病毒之后,立即获取了我存储在 Chrome 密码管理器中的所有账户和密码。然后,他挑选了他认为重要的,执行了那些操作。但是,由于我后来很久就用杀毒软件清除了病毒,所以入侵者后续没有控制我的电脑。
-
入侵者不但获取了我的全部账户和密码,还持续控制着我的电脑。
第 2 种情况之所以可能,是因为,如果入侵者后续没有控制我的电脑,只是在最初窃取我的账户密码,他不可能那样窃取我的 LinkedIn 账户。
补救措施
我有点慌了。如果电脑被控制,那将是多么可怕的一件事。我赶紧采取以下补救措施:
-
下载 360 杀毒,再执行全盘扫描,期望不同的杀毒软件可以补强杀毒能力。(当然,在执行完扫描之后,立即卸载🤣)
-
在资源管理器中查找并删除陌生文件。我在 \ProgramData 中找到了当时新建的一个名为“Corporation”的文件夹,其中有两个 dll 残留,经过反复单独扫描,没有发现威胁,估计是其中的危险文件已经被清除过了。我还发现,病毒将我那些从 OneDrive 中下载的十几个 Word 文档复制到了 \ProgramData 中。我怀疑这是想要劫持我的重要文件,尽管后来没有发生这样的事情。
-
立即在设备管理器中,禁用摄像头,并在卡巴斯基中禁止所有应用程序使用摄像头。
-
立即修改我常用邮箱的密码。
-
立即联系官方找回我被盗的账户。因为 LinkedIn 需要身份证照片,因此我放弃找回。我找回了邮箱甲注册的 AWS 账户,并按要求申请解除对邮箱乙注册的 AWS 账户的限制。还算顺利。但很快,我再次收到 AWS 发来的通知,说他们监测到我的账户可能还在被入侵。
-
立即修改 Windows 系统的 PIN 码。
-
立即修改了支付宝、淘宝、京东等账户的密码,并把支付宝的账户安全保障险的额度免费升级到了一百万。
本来还想重装系统,由于已是深夜,就只好睡觉了。为了防止入侵者在我睡觉时继续执行非法操作,我关闭了电脑(之前都是直接合上盖子使电脑睡眠)。当时想,要是入侵者还是能够继续入侵我的电脑,那可真是牛逼坏了。
当晚带着莫名的惶恐睡觉了。第三天醒来,有点不太敢看邮件,深怕又有什么账户被窃。幸好一夜安全。
第三天立即下载了 Windows 系统镜像,并重装了系统。之后,才感觉如释重负。值得一提的是,在下载系统镜像的过程中,卡巴斯基拦截了两三次非法下载操作。当时我没有执行这些操作,怀疑这是系统内的非法程序作祟。被拦截的链接看起来就不正常。
过去用了那么多年的电脑也都没中过病毒,都怀疑病毒只是个传说。这一次,有种从梦境到现实的冲击感。我第一次强烈意识到,一旦电脑中毒,可能会带来十分重大的损失。要知道,我的账户密码基本上都是弱密码,而且还有一定的编写规律,一旦其中的某些密码被窃取,其他的密码不那么难以猜测。
重装完系统后,我给 Windows 系统设置了更长的 PIN 码,并且修改了一些重要账户的密码,这次,我用密码生成器生成密码,而不是按以前的规则编写密码。我还为 Chrome 的密码管理器开启了 Windows hello 验证,任何时候填网站密码,都需要输入系统 PIN 码进行验证。
经验教训
电脑中毒就有点像身体生病,平时以为不会摊上,然而一旦摊上,就可能会有重大损失。从这次中毒经历,我得到了一些些教训:
-
尽量不要在不知底细的网站下载文件,特别是下载破解软件。
-
如果确实需要使用破解软件,在安装前最好在在线病毒扫描网站(如 virscan.org )上扫描一下。当然,对于流行软件的破解软件,比如 PS 或 Office,体积过大,在线扫描是不现实的,但在值得信任的渠道获得,一般是没问题的。
-
由于 Chrome 的密码管理器是以明文的形式存储所有密码的,所以,这些密码的安全性依赖 Windows 系统的安全性,一旦系统被攻破,Chrome 密码管理器就如同裸奔,所以,为 Chrome 密码管理器开启 Windows hello 验证是必要的。当然,许多人使用其他密码管理器方案。
-
对于重要账户,一定要设置高强度密码。可以使用密码生成器来生成所需密码。
-
尽量为重要账户开启 MFA,或者说两步验证。事实证明,我开启 MFA 的账户,没有发生任何异常。
-
对于特别重要的账户,考虑更高强度的加密方式。比如,我曾设想,建立两个文件,在一个文件中,以“fRsIvOOhlpkd $Q25JnYVku0GUZU9”形式记录。第一段密码代表一个账户名,第二段密码是实际的密码。在另一个文件中,以“Github qwert1754@gmail.com fRsIvOOhlpkd”的形式记录,第一段记录真实的账户信息,第二段记录账户信息的代码。两个文件放在不同的地方。由于我没有这样的账户(因为我是穷人),就没有这样做。
-
不要依赖 Windows 自带的杀毒软件。安装了卡巴斯基后,当我再次访问病毒下载页面,卡巴斯基会直接拦截,而且,卡巴斯基在谷歌搜索结果中将它们标记为危险网站,而 Windows 自带的杀毒软件当初什么也没做。
-
一旦怀疑中毒,最妥当的办法就是重装系统。其实,我至今并不100%确定,那几起账户异常事件与我的电脑中毒有关。没准它们只是巧合。我也不100%确定,当卡巴斯基声称清除病毒后,我的电脑是否残存病毒。但是,这些都不是关键的,关键的是,一旦怀疑中毒,必须重装系统。