[問題] 把資料改為唯讀檔勒索的辦法 blink173 PTT批踢踢實業坊

作者: blink173 (blink183) 2017-05-14 01:24:19

抱歉之前我在本版有看到高手分享將資料硬碟改為唯獨方式
並且實際測試當時流行的病毒的確是有效的
資料夾-右鍵-安全性-寫入-"拒絕"
這樣設定下去以後該資料夾使用上很不方便
適合舊照片影片等很久才翻閱一次的資料夾
不曉得這次是否試用
(另外如果真的要付贖金可參考我去年的舊文)

作者: qxxrbull (XPEC) 2017-05-14 01:26:00

你不覺得直接把SATA線拔掉比較簡單又安全嗎

作者: gwofeng (宮山洋行) 2017-05-14 01:28:00

使用鎖資料夾唯讀程式的確能防勒索

作者: qxxrbull (XPEC) 2017-05-14 01:28:00

話說我以前有直接把裝檔案的磁區的代號隱藏住當時都能躲過勒索軟體不知道現在這些還能不能

作者: WWWOOOXX (yeahwong) 2017-05-14 01:29:00

一樓典型的大規模爆發後八卦版的人都跑來的案例

作者: jhangyu (jhangyu) 2017-05-14 01:36:00

那你的硬碟格式要是NTFS

作者: mayuyu ((・ω・)ノ) 2017-05-14 01:40:00

只拒絕寫入的話這次是不行的WannaCry會調用icacls來修改存取權限要拒絕修改權限/完整控制才能避免可以用其他有自己的過濾驅動的鎖資料夾軟體也可以避免被加密

作者: gwofeng (宮山洋行) 2017-05-14 01:45:00

這兩天測試這個病毒居然有辦法在軟體鎖住的資料夾建立 xxxxxx.TMP 的檔案不過 0kb保護的檔案是沒有事但第一次被闖進唯讀資料夾

作者: gowaa (囧mmmmmmmmmmmz) 2017-05-14 01:49:00

這麼狠哇

作者: mayuyu ((・ω・)ノ) 2017-05-14 01:55:00

建立xxxxxx.TMP的是哪一支程式？也許被放行了

作者: gwofeng (宮山洋行) 2017-05-14 02:00:00

http://imgur.com/a/1hWEf這支病毒建立的雖然能建立文件但沒辦法寫入應該就是0kb的原因測了很多次給我創了不少TMP

作者: bearq258 (bearQ) 2017-05-14 02:37:00

外接硬碟改成硬體唯讀會

作者: miamodo 2017-05-14 09:13:00

這次樣本將資料碟的磁碟代號移除,就不會有事

作者: sonickid (莫忘初衷) 2017-05-14 11:06:00

將磁碟代號移除那有其他方法讀存取檔案嗎？

作者: mayuyu ((・ω・)ノ) 2017-05-14 14:20:00

@gwofeng 你有放行任何程式嗎？鎖資料夾的軟體是？是Secure Folders嗎？出現TMP好像是因為WannaCry要對原檔進行破壞而產生的不過它沒有辦法寫進去所以變成一些OKB的暫存檔在外面不過TMP的數目和資料夾下檔案數目不一定相同有的時候不會產生可能跟原始的檔案大小有關係

作者: gwofeng (宮山洋行) 2017-05-14 16:26:00

是Secure Folders沒錯，並沒有加白名單的程式

作者: sa12e3 2017-05-14 19:36:00

繼續閱讀