作者:
lmkkml (小羊~~~)
2016-06-06 16:27:26※ 引述《GAMETYRANT ( 深水無痕 )》之銘言:
: 好多年沒逛防毒版,過去靠著瘋狂等級的 comodo 護持
: 即使沒裝任何防毒程式,電腦這樣裸奔了多年也沒中過毒
: 但這波勒索病毒的災情確實怵目驚心
: 尤其這波病毒,專挑文件檔、多媒體檔這類容易被 HIPS 忽略的檔案下手
: 假設說,將特定磁碟機、特定資料夾、或特定檔案,改成唯讀狀態
: 不知有無辦法對抗這勒索病毒的背景加密行為?
: ( 許多多媒體檔案,終其一生不會進行編輯,改成唯讀似乎有利無弊 )
直接拿病毒來做實驗(先說一下這是在系統管理員帳戶底下測試的),創三個文件夾1~3,1號是勾選唯讀(這個唯讀是僅套用資料夾中的檔案)、2號是把 administrators 的寫入權限封死,勾選禁止寫入、3號是把自己的管理員帳戶只保留唯讀。分別是下面三張圖:
http://i.imgur.com/XAbX5HN.png
http://i.imgur.com/223Rmcp.png
http://i.imgur.com/NXdFqGw.png
執行病毒 UltraCrypter(.cryp1)後,1號資料夾陣亡如下圖,2、3號資料夾沒事。
http://i.imgur.com/72eTrhO.png
2、3號資料夾換一隻強一點的病毒 Cerber 來試試看,3號資料夾陣亡,2號資料夾依然沒事。
http://i.imgur.com/shE9eLQ.png
雖然2號存活了下來,不過它最大的問題並不在於勒索病毒攻擊,而是根本性的不方便。例如若嘗試把檔案放進去2號資料夾,會出現下圖,要放東西就得把禁寫勾勾取消掉。因此唯有在萬年不去存放檔案,只用來讀取的資料夾上才會建議這樣用,不然誰受得了。
http://i.imgur.com/LRyrUYT.png
作者:
l98 (尋找屬於我的星星)
2016-06-06 16:29:00有試驗有推
作者:
s1s1 (胖鳥)
2016-06-06 16:30:00有實驗有推,看來很適合用在多年累積的照片檔、音樂檔之類的
作者: vul354 (Vanter) 2016-06-06 16:33:00
有實驗給推,感謝分享結果
作者: Kuansun (食用紅色六號) 2016-06-06 16:45:00
推
作者: ptt1234567 (RC) 2016-06-06 16:49:00
有測有推, 辛苦了
請問中毒電腦工作管理員完全沒有異狀嗎?我是屬於那種工作管理員有幾隻程式在執行都一清二楚的人,所以想知道,完全無法從程序或服務這些東西看出端倪嗎?(還是中毒的人根本就不看這些)
有的會偽裝吧而且沒這麼常看 通常看到發現也差不多死了
又不可能隨時都在監看,何況有些是利用系統程式在作怪多一兩個 svchost explorer rundll32 很難及時注意到
以我例子,svchost就是固定11隻,電腦在剛啟動好狀態
作者:
mars1985 (╰|∵|╯)
2016-06-06 17:17:00哈哈哈。
程序就是54,不多不少剛剛好,我只是在想,覺得奇怪的時候就看一下,發現異狀就強制程序執行終止,也許是可以降低災害的措施?
svchost 別亂關 有些系統會調用 來說說我看過舊版加密中毒過程 恐怖在出現不到一秒就隱藏本身進程 執行中cpu使用率完全正常不會飄高 完全不會發覺 非常陰險 現在大家電腦都很好還ssd 只能多加備份 唯一解
不用一直盯著看啊...覺得奇怪就Ctrl+Alt+Del一下很難嗎...?
查過資料了,工作管理員內的程序不能被隱藏的,最多就是改名而已,所以平常多關心自己電腦,有沒有多出什麼奇怪的執行程序吧。
jacklin大大 你知道被加密的時候工作管理員和cmd都開不起來嗎XD
我就是沒中所以我才問啊...囧> 要不然我超想實驗看看
作者:
aglet (Aglet)
2016-06-06 18:02:00那SYSTEM的權限需要修改嗎
當你覺得奇怪的時候應該是直接關機而不是在那邊找吧現在名子都是用常見的 例如svchost or explorer另外工作管理員內的程序還是可以隱藏的 你資料是哪來?
之前看到影片的 只出現不到一秒就隱身了排列是 使用率 真的就不見了也沒偽裝
可以用工作管理員或cmd下指令顯示所有處理程序,所以
作者:
abramtw (世界原來是如此耀眼啊)
2016-06-06 18:19:00平時2號設定 要放檔案才解除 放完再2號怎樣呢?
隱藏沒有用,所以tsukiyo99說的應該就是了,直接封鎖不讓你開啟指令集,更狠....
加密軟體的CPU使用效能不會很高 而是disk高 因為都在IO
他是測試 加密前就開了 管理 點病毒執行我也不相信啊 因為我也會監看管理員的
作者:
kenick (SOLID_SNAKE)
2016-06-06 18:40:00推lmk大實驗
感謝lmk大的詳細試驗,看來單純的唯讀果然還是不夠...
作者:
mayuyu ((・ω・)ノ)
2016-06-06 19:07:00可以隱藏自身進程 只要hook枚舉進程的api然後移除想要隱藏的進程就可以了 工作管理員看不到的還有一些木馬會利用遠程注入的方法把要執行的代碼放進其他系統程序裡面去執行注入以後就可以把自己的進程給殺掉了 出現閃一下就不見了有些是寫成dll讓系統在啟動時加載 不會看到處理程序有些是替換掉系統正常的服務 從服務列表也看不出來有些是直接裝到內核級的驅動 隨便它想要怎麼修改顯示給用戶層看的結果就怎麼修改 一般程式根本看不到它的存在 除非你也使用內核級的檢測工具而且加載的優先權還要高於木馬的rootkit請問l大,如果創建一個新的系統管理員帳戶,將目前的帳戶轉為一般使用者,然後限制這個使用者的訪問權限(也就是你推薦的方法一),這樣可以擋住這二個病毒嗎?如果可以,用你的方法一在使用上應該比較方便
作者:
abcccbbs (保險經紀人業務副理)
2016-06-06 20:23:00-------------樓下使用方法2設定D槽影片中-------------
作者:
srewq (南瓜)
2016-06-06 21:17:00哈 我的確是在用方法2設定D槽中 一些幾年來拍的照片跟影片畢竟久久才會去新增更動一次 不礙事
改資料夾權限應該是目前最輕鬆的防堵方式了不過當用戶已受感染且不知情(不知病毒已作動)前提下雖然透過資料夾權限,可以擋死病毒的侵害行為但未來新增檔案,打開資料夾權限時,仍有風險再被加密因無法得知病毒母體是否已自殺,或已停止繼續加密因此建議在該磁碟或它磁碟根目錄下放幾張不重要的圖片當誘餌,作為判別電腦是否受感染的暫時判斷法..
作者:
mathrew (Joey)
2016-06-06 22:26:00個人認為,把平常沒在用的重要檔案 例如多年來的照片你平時不會去看嘛,直接丟在一顆硬碟,然後把那顆硬碟設定離線,真的有需要用時,再設定回連線改權限目前可以擋,但是哪天駭客來個漏洞修改權限+勒索就..............
現在隨身碟都有64G甚至更高了 內接硬碟也才2K這麼大費周章 還不如乾脆另外備份比較快
作者:
abram (科科)
2016-06-06 22:32:00BIOS裡把某硬碟disable 這樣怎麼修改權限都不可能傷害到了連硬碟都不可能被抓到了...
作者:
vobor (藍色大象)
2016-06-06 23:15:00我覺得離線這招更有效耶,不過病毒可以偵測離線硬碟並且把他修改回連線然後開始加密嗎?
作者:
abram (科科)
2016-06-06 23:17:00BIOS離線就不可能 非BIOS的離線也很難 除非UAC完全關閉
作者:
mayuyu ((・ω・)ノ)
2016-06-07 00:20:00也就是說方法一都有效對不對? 如果都有效,方法一好像比較方便
作者:
vobor (藍色大象)
2016-06-07 01:10:00方法ㄧ不就是最快被破解的那個嗎..瞭解l大我還想到一個方法,如果讓資料碟在沒有使用的時候離線,並且把UAC層級拉到最高,這樣資料碟的資料應該就可以免受威脅了吧?因為開啟磁碟管理會觸發最嚴格的UAC,當然別去按是就好了是說這類的病毒會去偵測離線的硬碟並且讓他恢復連線嗎?
感覺應該要設計一個特大號的硬碟讀寫燈放在桌上只要有大量讀寫,燈狂閃的時候,就注意一下