[心得] 關於Ransomware綁架軟體的小小實驗 pendoth PTT批踢踢實業坊

[心得] 關於Ransomware綁架軟體的小小實驗

作者: pendoth (46825) 2016-06-07 00:34:28

一開始先跟大家提到一個在XP時代有名的隨身碟病毒KAVO，
當時讓隨身碟免疫的方法就是在隨身碟根目錄下建立autorun.inf目錄，
然候應該很多人還有印象，再下一層有一個無法讀取及刪除的目錄123.
為什麼要提到這個，因為不論是使用者帳號限制也好，檔案設唯讀權限也好，
都是讓綁架軟體無法覆寫檔案的方式來保護，
而在這個123.的資料夾下的檔案，有點不一樣，
於是就有了這次的實驗。
注：要跟著下面實作的人，一點基礎需要。
***重要*** 第一步需在XP或XPE的環境下於C或D槽直接建立123.的資料夾
http://i.imgur.com/MjyNtVK.png
C:\>mkdir 123..\
資料夾名稱有限制必須6個半型字元以下，
http://i.imgur.com/tccQuLM.png
於是就得到看起來名稱為123.的資料夾。
http://i.imgur.com/ks8LlNn.png
無論在XP或WIN7以上環境直接雙擊左鍵開啟都會有同樣的提示，
並且無法直接讀取及刪除。
http://i.imgur.com/9l3Pfrv.png
http://i.imgur.com/0cOPmb8.png
本篇重點：
再來這個應該就很少人知道了！這個資料夾並非完全無法存取！
它其實如同一般資料夾可讀取可覆寫，
只是！！！無法使用一般路徑來作讀寫的動作！！！！
前面提到限制6個半型字元就是因為在這邊要用短檔名的方式去開啟，
超過6個半型字元好像就無法正常開啟了。
因為方便，這裡我使用寫入記事本存.bat的方式用於直接雙擊執行開啟，
命令也可以直接輸入
C:\>start C:\123~1
便可發現此資料夾被開啟了。
題外一下，這指令是在WIN7後才適用的，
在XP下我記得直接在路徑欄打上C:\123..就進去了，
升到WIN7時打不開差點崩潰，好久才在不知哪的外國論壇看到這個方法，
一直到現在WIN10依然可用，當時我覺的這真的是超適合拿來裝秘密，
內建搜尋不到，everything之類的搜尋軟體雖然看的到但不能摸，
不過現在不需要了就是...
實作的教學也就到這了，其實也不是很難，下面就看一些測試吧。
首先在一般資料夾和123.各放入相同及不同的檔案資料，
http://i.imgur.com/OafRFu6.png
1.作者良心發現的Crypt0L0cker
http://i.imgur.com/yVlD4A7.png
執行直到跳出訊息，就可以看到差別了，執行途中兩個資料夾仍然是開著的。
就可以知道在這個短檔名路徑下，綁架軟體無作用。
http://i.imgur.com/xgtKhdq.png
2.Cerber
http://i.imgur.com/TdR0YFh.png
一樣執行直到跳出訊息。
超兇連檔名也覆寫了，有趣的是會聽到播放聲音：
attention!
attention!
attention!
your documents photos databases and other important files have been encrypted.
然候重複十遍左右吧....
http://i.imgur.com/8THnX7N.png
3.最後大概會是本月 MVP CryptXXX3.0
試著換到WIN10看看。
http://i.imgur.com/LioJsRl.png
完美加密。除了123.資料夾
http://i.imgur.com/JhOLuFj.png
看最新的應該是.crypz，但我看了幾個樣本網站好像還沒有，
有善心人士抓給我玩我會很開心的。
最後就提醒一下，
保護檔案最好的方式還是離線備份，
上面的方法也不保證對以後綁架軟體有用，
因為這方法目前看起來似乎還有可用性，
所以就提供給各位了。
大概這樣。

作者: s79072002 (朱弟) 2016-06-07 00:58:00

我該慶祝，我中的是良心發現的勒索病毒嗎...?資料救回80%

作者: frank1033 (路人甲) 2016-06-07 01:02:00

酷喔~~ 感謝測試

作者: pyc888 (PYC) 2016-06-07 01:10:00

以前玩 FxP 常常用ASCII建資料夾偷塞東西。沒想到可以擋現在的勒索病毒啊

作者: lmkkml (小羊~~~) 2016-06-07 01:14:00

推！有點猛耶

作者: srewq (南瓜) 2016-06-07 01:32:00

推!!

作者: GAMETYRANT (　深水無痕　) 2016-06-07 01:46:00

推！很有趣且認真的測試~舊時代對付KAVO的手段，竟也成為CRYP的剋星之一 :P

作者: andy90498 (楓情) 2016-06-07 06:04:00

推...

作者: MoJi (æˆ°ç¥ž) 2016-06-07 06:04:00

所以是把資料放在123.資料夾就可抵擋目前的勒索毒嗎？用普通右鍵重新命名的方式？

作者: andy90498 (楓情) 2016-06-07 06:21:00

請問一下剛剛用WIN7測試了一下發現確實該123.資料夾確實無法刪除、更名但能直接左鍵開啟?之後我嘗試把檔案丟進去該資料夾發現可更名、刪除但無法開啟是因為我不是在XP系統建立該資料夾的關係嗎?CMD 沒辦法CD進123. 以及沒辦法START該資料夾裡的檔案

作者: go1717 (go一起一起當神) 2016-06-07 08:07:00

那用Unlocker可以刪除嗎？

作者: Bellkna (柔弱氣質偽少女) 2016-06-07 08:09:00

把分割區掛戴在該目錄下的目錄不知道效果如何還可以省掉搬東西的麻煩

作者: andy90498 (楓情) 2016-06-07 08:17:00

回go1717 使用unlock也無法刪除喔

作者: Bellkna (柔弱氣質偽少女) 2016-06-07 08:24:00

7-zip和filezilla 理論上應該就能直接建這種目錄

作者: wackyjazz (歐嚕嚕) 2016-06-07 08:56:00

感覺專業推~~~

作者: swpoker (swpoker) 2016-06-07 09:46:00

win7(64) 都能用檔案總管開啟阿

作者: go1717 (go一起一起當神) 2016-06-07 09:51:00

但打"rmdir 123..\"該目錄就會被砍@@

作者: jan06010504 (3RD) 2016-06-07 10:00:00

如果用檔案總管可以開，那這方法是不是就無效了?

作者: chang0206 (Eric Chang) 2016-06-07 10:23:00

樓上原PO不就都實驗過了嗎？

作者: jsbach813 2016-06-07 11:46:00

為什麼我只能做"123.." 沒辦法做"123." ?跪求

作者: jan06010504 (3RD) 2016-06-07 11:47:00

sor，問得不夠準確，是想問樓上a大有說可直接左鍵開啟，這樣還有防禦效果嗎？

作者: jacklin2002 2016-06-07 12:51:00

原po說了，要在XP或XPE的環境下才能建立.....

作者: jan06010504 (3RD) 2016-06-07 12:56:00

好的，感謝

作者: go1717 (go一起一起當神) 2016-06-07 13:00:00

win10也可以建立問題是用指令建立的資料夾也能用指令砍掉@@

作者: louis925 (稚空) 2016-06-08 04:23:00

我在 Win 7 下建立 123..\ ，會自動產生123和123..兩個資料夾耶，內部檔案都可以正常開啟關閉但是檔案總管只能刪掉123，123..必須透過rmdir刪除

作者: chang0206 (Eric Chang) 2016-06-08 13:44:00

呃，可以請問一下 VHD 檔案也會被這個加密嗎？

請問有XP以外作業系統的做法嗎？還是一定要找一台XP自己建一個這樣的資料夾？

繼續閱讀

Re: [問題] 檔案改唯讀，是否可破勒索病毒行為？chinoyan Re: [討論] 勒索病毒的入侵討論lmkkml [求救] 預設程式更改，電腦檔案全變一樣!中毒？thekinginsid [討論] 勒索病毒的入侵討論squareneo [問題] 電腦中了cryp1jennychen825 [問題] 為什麼沒屋頂的卡巴特別便宜?pp771017 [問題] 請問勒索病毒和NAS資料的問題ukyo1024 Re: [問題] crypz是最新型的病毒嗎?lisbonbon Re: [問題] 檔案改唯讀，是否可破勒索病毒行為？lmkkml [討論] 聽說這個網站的教學能解crypkurl1009