我本身也是苦主,是在2015年七月中的Crypt0L0cker,
當時沒下載東西,應該是用IE看到免空的廣告中的,
損失了一堆照片,也是那之後才認識了沙盤這軟體。
自從有aria0520大發佈的簡易監控小腳本,
還有Moscato大修改的新增提示版後,
真的是讓人振奮阿,一直想要練蠱測試,
卻一直沒有成功,按下病毒樣本無反應。
我想應該不是正確的病毒樣本吧。
過了一段時間,昨天我又在網上搜尋了一遍,
這次成功了,過了約二分鐘跳出勒索視窗。
樣本是 CryptoWall 4.0版,檔名+附檔名都變亂碼。
為了測試後的快速還原,一樣用虛擬電腦跑,
用的是免費版的VirtualBox,及它的快照功能。
簡單心得如下;
1.
執行病毒的當下若是斷網病毒不會發作,
但是一旦連網就開始執行惡意加密動作。
2.
它加密的順序從C槽打開的「第一個資料夾」開始(依排序名稱)
資料夾內加密檔案也是依照名稱,
假設這資料夾命名為001資料夾好了,
裡面的檔案0001.mp4是一部1GB的影片,
還有100張各1MB從001到100.jpg的複製圖片,
它會先花比較長的時間把這影片加密後
(因為電腦世界裡0001排序在001之前)
(取決於電腦性能,我自己等了約1分20秒)
才會繼續把剩下的100張圖片加密,
由於這些圖片檔案小,加密時間就相當快了。
3.
參考orze04大的PO文
把待監測檔1.jpg放在名稱為「!test」的資料夾下監測
止血效果要比直接放在C槽下要好很多。
因!開頭會比數字還要前面
即 C:\!test\1.jpg 優於 C:\1.jpg
4.
在Win7系統下,若病毒開始加密後,
且監控小腳本成功偵測並關機止血,
此時就算是「斷網」再開機,
它還是會繼續加密剩餘檔案,
並在完成後跳出勒索視窗。
so...※要救援剩餘檔案請找其他開機媒介。
結語:
簡單的測試恐有疏漏,加上此系列又有變種,
此次結果不保證適用其他新的勒索病毒,
給有興趣的板友純作參考用,謝謝。