※ 引述《s11924 (陷阱金屬小妹)》之銘言:
: 小妹資安的報告主題是勒索病毒啦 所以最近在大量的找資料
: 版上看了一輪 很多推文都直接說沒救了 但有些說要先拔網路線 為什麼阿?
: 就我目前的認知 勒索病毒有幾種方法 1.直接加密你的檔案
這次加密後的檔案查看建立時間與原檔案一樣,
修改時間則是變成.lck當下的時間
所以救援軟體可能沒辦法解決
: 2. 先刪除你的檔案 在做一個假的加密檔
: 3. 直接把妳的檔案抓到他的硬碟 再刪光
: 當然還有分加密型和非加密型啦
: 那這真的是無解的 只能預防? 網路上的破解軟體 是不是其實都是用暴力解密?
這次加密的確採RSA2048,
每個磁碟完成加密後會丟下一個txt的聯絡Email與RSA2048的加密內容,
而不是像之前會出現一隻小程式開啟小視窗;
從早期釣魚信件單純感染該台電腦硬碟、網路磁碟、外接硬碟,
後來從網路隨機亂打鳥方式攻Windows SMB漏洞,
到現在硬體接觸式(任何USB媒介)或釣魚後偽裝等取得權限,
再透過群組原則或工作排程等方式進行統一時間發作,
只要有用網域的單位,就得小心,
同時也挑戰防毒的抵擋能力,
以趨勢Officescan來講,病毒碼15.849之後版本才能偵測到;
拔網路線的確就是避免擴大、斷NAS,
關機的話加密到一半,沒有完成整個磁碟槽加密不會產生談判的txt檔案;
最後來講這次加密仍然躲過的檔案類型,
例如.dll、.msi這種都沒事,
所以如果硬碟空間夠大,
可以考慮手動將重要的資料弄成壓縮檔,把副檔名改成以上檔案類型;
如果有用NAS,可以考慮改\\方式連線,
不要掛網路磁碟機;
NAS本身有些提供整機備份、異機還原的功能也建議定期去備份。
推 s11924: 改副檔名有用嗎? 病毒會查標頭吧
→ KyA: 這次是攻副檔名 D槽內有.dll逃過一劫
推 pipishan: @Kya 你是說這次中油的這隻改dll有閃過嗎?
→ dennisxkimo: 微軟內建防毒功能 Controlled folder access
推 tswu8: NAS上能限制使用者採//連線嗎?