作者lmkkml (小羊~~~)
看板AntiVirus
標題Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
時間Mon Jun 6 16:27:26 2016
※ 引述《GAMETYRANT ( 深水無痕 )》之銘言:
: 好多年沒逛防毒版,過去靠著瘋狂等級的 comodo 護持
: 即使沒裝任何防毒程式,電腦這樣裸奔了多年也沒中過毒
: 但這波勒索病毒的災情確實怵目驚心
: 尤其這波病毒,專挑文件檔、多媒體檔這類容易被 HIPS 忽略的檔案下手
: 假設說,將特定磁碟機、特定資料夾、或特定檔案,改成唯讀狀態
: 不知有無辦法對抗這勒索病毒的背景加密行為?
: ( 許多多媒體檔案,終其一生不會進行編輯,改成唯讀似乎有利無弊 )
直接拿病毒來做實驗(先說一下這是在系統管理員帳戶底下測試的),創三個文件夾1~3,1號是勾選唯讀(這個唯讀是僅套用資料夾中的檔案)、2號是把 administrators 的寫入權限封死,勾選禁止寫入、3號是把自己的管理員帳戶只保留唯讀。分別是下面三張圖:
http://i.imgur.com/XAbX5HN.png http://i.imgur.com/223Rmcp.png http://i.imgur.com/NXdFqGw.png 執行病毒 UltraCrypter(.cryp1)後,1號資料夾陣亡如下圖,2、3號資料夾沒事。
http://i.imgur.com/72eTrhO.png 2、3號資料夾換一隻強一點的病毒 Cerber 來試試看,3號資料夾陣亡,2號資料夾依然沒事。
http://i.imgur.com/shE9eLQ.png 雖然2號存活了下來,不過它最大的問題並不在於勒索病毒攻擊,而是根本性的不方便。例如若嘗試把檔案放進去2號資料夾,會出現下圖,要放東西就得把禁寫勾勾取消掉。因此唯有在萬年不去存放檔案,只用來讀取的資料夾上才會建議這樣用,不然誰受得了。
http://i.imgur.com/LRyrUYT.png --
Sent from my Windows
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.27.117
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465201648.A.3A3.html
推 l98: 有試驗有推 06/06 16:29
推 s1s1: 有實驗有推,看來很適合用在多年累積的照片檔、音樂檔之類的 06/06 16:30
推 vul354: 有實驗給推,感謝分享結果 06/06 16:33
推 lisbonbon: 推一個,反正影音檔都這樣設定就好 06/06 16:40
推 Kuansun: 推 06/06 16:45
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 16:49:47
推 ptt1234567: 有測有推, 辛苦了 06/06 16:49
推 jacklin2002: 請問中毒電腦工作管理員完全沒有異狀嗎? 06/06 17:05
→ jacklin2002: 我是屬於那種工作管理員有幾隻程式在執行都一清二楚 06/06 17:05
→ jacklin2002: 的人,所以想知道,完全無法從程序或服務這些東西看 06/06 17:06
→ jacklin2002: 出端倪嗎?(還是中毒的人根本就不看這些) 06/06 17:06
當然有病毒在跑囉,不過中毒時要剛好開著工作管理員我想有難度吧。這些病毒最有感的
時候就是硬碟燈在猛閃的時候了,這時候發現中毒我覺得也加密的差不多了。
→ yoyo80725: 有的會偽裝吧 06/06 17:12
→ yoyo80725: 而且沒這麼常看 通常看到發現也差不多死了 06/06 17:13
→ brianuser: 又不可能隨時都在監看,何況有些是利用系統程式在作怪 06/06 17:13
→ brianuser: 多一兩個 svchost explorer rundll32 很難及時注意到 06/06 17:14
推 jacklin2002: 以我例子,svchost就是固定11隻,電腦在剛啟動好狀態 06/06 17:16
推 mars1985: 哈哈哈。 06/06 17:17
→ jacklin2002: 程序就是54,不多不少剛剛好,我只是在想,覺得奇怪 06/06 17:17
→ jacklin2002: 的時候就看一下,發現異狀就強制程序執行終止,也許 06/06 17:18
→ jacklin2002: 是可以降低災害的措施? 06/06 17:18
推 weichen5566: 設定權限當然可以防止,但是一般電腦設定權限不方便 06/06 17:26
推 blackwindy: 誰沒事會盯著程序看阿...而且直接拔電源線快多了 06/06 17:27
→ weichen5566: 可以裝一台NAS,每次備份就是要登入才能傳也安全 06/06 17:28
→ bluewinston: svchost 別亂關 有些系統會調用 來說說我 06/06 17:29
→ bluewinston: 看過舊版加密中毒過程 恐怖在出現不到一 06/06 17:29
→ bluewinston: 秒就隱藏本身進程 執行中cpu使用率完全正 06/06 17:29
→ bluewinston: 常不會飄高 完全不會發覺 非常陰險 現在 06/06 17:29
→ bluewinston: 大家電腦都很好還ssd 只能多加備份 唯一 06/06 17:29
→ bluewinston: 解 06/06 17:29
→ jacklin2002: 不用一直盯著看啊...覺得奇怪就Ctrl+Alt+Del一下很難 06/06 17:30
→ jacklin2002: 嗎...? 06/06 17:30
→ HELLDIVER: 硬碟現在也不貴 做個系統完整備份不花太多錢的 06/06 17:30
推 jacklin2002: 查過資料了,工作管理員內的程序不能被隱藏的,最多 06/06 17:56
→ jacklin2002: 就是改名而已,所以平常多關心自己電腦,有沒有多出 06/06 17:57
→ jacklin2002: 什麼奇怪的執行程序吧。 06/06 17:58
→ tsukiyo99: jacklin大大 你知道被加密的時候工作管理員和cmd都開不 06/06 17:59
→ tsukiyo99: 起來嗎XD 06/06 17:59
→ jacklin2002: 我就是沒中所以我才問啊...囧> 要不然我超想實驗看看 06/06 18:00
→ yoyo80725: 就像我講的...當你覺得奇怪的時候你已經死了 06/06 18:00
→ jacklin2002: 而且如果被加密工作管理員就不能開,那更好認了,只 06/06 18:00
→ jacklin2002: 要發現打不開就立即關機,也好過全部被鎖完跳勒索畫 06/06 18:01
→ jacklin2002: 面吧。 06/06 18:01
推 aglet: 那SYSTEM的權限需要修改嗎 06/06 18:02
SYSTEM部分我完全沒去動它。
→ blackwindy: 當你覺得奇怪的時候應該是直接關機而不是在那邊找吧 06/06 18:07
→ blackwindy: 現在名子都是用常見的 例如svchost or explorer 06/06 18:08
→ blackwindy: 另外工作管理員內的程序還是可以隱藏的 你資料是哪來? 06/06 18:09
→ bluewinston: 之前看到影片的 只出現不到一秒就隱身了 06/06 18:13
→ bluewinston: 排列是 使用率 真的就不見了也沒偽裝 06/06 18:13
推 jacklin2002: 可以用工作管理員或cmd下指令顯示所有處理程序,所以 06/06 18:18
推 abramtw: 平時2號設定 要放檔案才解除 放完再2號怎樣呢? 06/06 18:19
是這樣沒錯呀,就當作那種要輸入密碼才能打開的資料夾,但是如果常常要開開關關就是
看每個人的接受度了吧。
→ jacklin2002: 隱藏沒有用,所以tsukiyo99說的應該就是了,直接封鎖 06/06 18:19
→ jacklin2002: 不讓你開啟指令集,更狠.... 06/06 18:20
→ tsukiyo99: 加密軟體的CPU使用效能不會很高 而是disk高 因為都在IO 06/06 18:23
→ yoyo80725: 看到硬碟燈瘋狂閃就差不多是了 06/06 18:28
→ bluewinston: 他是測試 加密前就開了 管理 點病毒執行 06/06 18:31
→ bluewinston: 我也不相信啊 因為我也會監看管理員的 06/06 18:31
推 kenick: 推lmk大實驗 06/06 18:40
推 GAMETYRANT: 感謝lmk大的詳細試驗,看來單純的唯讀果然還是不夠... 06/06 18:42
→ mayuyu: 可以隱藏自身進程 只要hook枚舉進程的api 06/06 19:07
→ mayuyu: 然後移除想要隱藏的進程就可以了 工作管理員看不到的 06/06 19:08
→ mayuyu: 還有一些木馬會利用遠程注入的方法 06/06 19:08
→ mayuyu: 把要執行的代碼放進其他系統程序裡面去執行 06/06 19:08
→ mayuyu: 注入以後就可以把自己的進程給殺掉了 出現閃一下就不見了 06/06 19:08
→ mayuyu: 有些是寫成dll讓系統在啟動時加載 不會看到處理程序 06/06 19:08
→ mayuyu: 有些是替換掉系統正常的服務 從服務列表也看不出來 06/06 19:09
→ mayuyu: 有些是直接裝到內核級的驅動 隨便它想要怎麼修改 06/06 19:09
→ mayuyu: 顯示給用戶層看的結果就怎麼修改 一般程式根本看不到它的 06/06 19:09
→ mayuyu: 存在 除非你也使用內核級的檢測工具 06/06 19:09
→ mayuyu: 而且加載的優先權還要高於木馬的rootkit 06/06 19:09
推 mayuyu: 請問l大,如果創建一個新的系統管理員帳戶, 06/06 19:13
→ mayuyu: 將目前的帳戶轉為一般使用者,然後限制這個使用者 06/06 19:13
→ mayuyu: 的訪問權限(也就是你推薦的方法一), 06/06 19:13
→ mayuyu: 這樣可以擋住這二個病毒嗎? 06/06 19:13
→ mayuyu: 如果可以,用你的方法一在使用上應該比較方便 06/06 19:13
Cerber在管理員帳戶底下會要求提權(UAC彈出),同意了就是文中3號資料夾的死法,若按
「否」就會很煩的一直彈。而在使用者帳戶底下Cerber不會觸發UAC,很單純執行加密,因
此只要沒寫入權限就可以擋下。UltraCrypter視同CryptXXX,目前這一系列就算要求提權
也只是要刪除磁碟區陰影複製而已。
推 abcccbbs: -------------樓下使用方法2設定D槽影片中------------- 06/06 20:23
推 srewq: 哈 我的確是在用方法2設定D槽中 一些幾年來拍的照片跟影片 06/06 21:17
→ srewq: 畢竟久久才會去新增更動一次 不礙事 06/06 21:17
推 GAMETYRANT: 改資料夾權限應該是目前最輕鬆的防堵方式了 06/06 22:14
→ GAMETYRANT: 不過當用戶已受感染且不知情(不知病毒已作動)前提下 06/06 22:14
→ GAMETYRANT: 雖然透過資料夾權限,可以擋死病毒的侵害行為 06/06 22:15
→ GAMETYRANT: 但未來新增檔案,打開資料夾權限時,仍有風險再被加密 06/06 22:15
→ GAMETYRANT: 因無法得知病毒母體是否已自殺,或已停止繼續加密 06/06 22:15
→ GAMETYRANT: 因此建議在該磁碟或它磁碟根目錄下放幾張不重要的 06/06 22:16
→ GAMETYRANT: 圖片當誘餌,作為判別電腦是否受感染的暫時判斷法.. 06/06 22:16
推 mathrew: 個人認為,把平常沒在用的重要檔案 例如多年來的照片 06/06 22:26
→ mathrew: 你平時不會去看嘛,直接丟在一顆硬碟,然後把那顆硬碟 06/06 22:27
→ mathrew: 設定離線,真的有需要用時,再設定回連線 06/06 22:27
→ mathrew: 改權限目前可以擋,但是哪天駭客來個漏洞修改權限+勒索 06/06 22:28
→ mathrew: 就.............. 06/06 22:29
→ HELLDIVER: 現在隨身碟都有64G甚至更高了 內接硬碟也才2K 06/06 22:31
→ HELLDIVER: 這麼大費周章 還不如乾脆另外備份比較快 06/06 22:32
推 abram: BIOS裡把某硬碟disable 這樣怎麼修改權限都不可能傷害到了 06/06 22:32
→ abram: 連硬碟都不可能被抓到了... 06/06 22:33
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 23:33:50
推 vobor: 我覺得離線這招更有效耶,不過病毒可以偵測離線硬碟並且把 06/06 23:15
→ vobor: 他修改回連線然後開始加密嗎? 06/06 23:15
推 abram: BIOS離線就不可能 非BIOS的離線也很難 除非UAC完全關閉 06/06 23:17
→ mayuyu: 也就是說方法一都有效對不對? 如果都有效,方法一好像 06/07 00:20
→ mayuyu: 比較方便 06/07 00:21
回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯,
但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加
密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
推 vobor: 方法ㄧ不就是最快被破解的那個嗎.. 06/07 01:10
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 01:47:07
推 vobor: 瞭解 06/07 03:16
推 vobor: l大我還想到一個方法,如果讓資料碟在沒有使用的時候離線, 06/07 03:18
→ vobor: 並且把UAC層級拉到最高,這樣資料碟的資料應該就可以免受 06/07 03:18
→ vobor: 威脅了吧? 06/07 03:18
→ vobor: 因為開啟磁碟管理會觸發最嚴格的UAC,當然別去按是就好了 06/07 03:18
→ vobor: 是說這類的病毒會去偵測離線的硬碟並且讓他恢復連線嗎? 06/07 03:20
我不認為病毒有辦法做到恢復連線,離線/連線交互使用磁碟機本身我覺得就是很棒的方
法囉,重點放在連線時小心使用這樣子。
→ louis925: 感覺應該要設計一個特大號的硬碟讀寫燈放在桌上 06/07 05:50
→ louis925: 只要有大量讀寫,燈狂閃的時候,就注意一下 06/07 05:50
哈哈,桌面永久常駐工作管理員也是可以啦....
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 11:18:52
→ louis925: 工作管理員會耗CPU啊~~ 06/08 04:25
推 gamesame7711: 06/08 07:11