[心得] 勒索病毒與簡易監控小腳本之測試
我本身也是苦主,是在2015年七月中的Crypt0L0cker,
當時沒下載東西,應該是用IE看到免空的廣告中的,
損失了一堆照片,也是那之後才認識了沙盤這軟體。
自從有aria0520大發佈的簡易監控小腳本,
還有Moscato大修改的新增提示版後,
真的是讓人振奮阿,一直想要練蠱測試,
卻一直沒有成功,按下病毒樣本無反應。
我想應該不是正確的病毒樣本吧。
過了一段時間,昨天我又在網上搜尋了一遍,
這次成功了,過了約二分鐘跳出勒索視窗。
樣本是 CryptoWall 4.0版,檔名+附檔名都變亂碼。
為了測試後的快速還原,一樣用虛擬電腦跑,
用的是免費版的VirtualBox,及它的快照功能。
簡單心得如下;
1.
執行病毒的當下若是斷網病毒不會發作,
但是一旦連網就開始執行惡意加密動作。
2.
它加密的順序從C槽打開的「第一個資料夾」開始(依排序名稱)
資料夾內加密檔案也是依照名稱,
假設這資料夾命名為001資料夾好了,
裡面的檔案0001.mp4是一部1GB的影片,
還有100張各1MB從001到100.jpg的複製圖片,
它會先花比較長的時間把這影片加密後
(因為電腦世界裡0001排序在001之前)
(取決於電腦性能,我自己等了約1分20秒)
才會繼續把剩下的100張圖片加密,
由於這些圖片檔案小,加密時間就相當快了。
3.
參考orze04大的PO文
把待監測檔1.jpg放在名稱為「!test」的資料夾下監測
止血效果要比直接放在C槽下要好很多。
因!開頭會比數字還要前面
即 C:\!test\1.jpg 優於 C:\1.jpg
4.
在Win7系統下,若病毒開始加密後,
且監控小腳本成功偵測並關機止血,
此時就算是「斷網」再開機,
它還是會繼續加密剩餘檔案,
並在完成後跳出勒索視窗。
so...※要救援剩餘檔案請找其他開機媒介。
結語:
簡單的測試恐有疏漏,加上此系列又有變種,
此次結果不保證適用其他新的勒索病毒,
給有興趣的板友純作參考用,謝謝。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.126.70.136
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1452793873.A.58F.html
推
01/15 05:51, , 1F
01/15 05:51, 1F
→
01/15 07:18, , 2F
01/15 07:18, 2F
→
01/15 07:41, , 3F
01/15 07:41, 3F
→
01/15 11:18, , 4F
01/15 11:18, 4F
→
01/15 11:19, , 5F
01/15 11:19, 5F
推
01/15 14:27, , 6F
01/15 14:27, 6F
推
01/15 14:53, , 7F
01/15 14:53, 7F
→
01/15 14:53, , 8F
01/15 14:53, 8F
※ 編輯: magiyan (59.126.70.136), 01/15/2016 16:45:10
推
01/15 20:34, , 9F
01/15 20:34, 9F
→
01/15 20:52, , 10F
01/15 20:52, 10F
推
01/16 01:28, , 11F
01/16 01:28, 11F
推
01/16 01:44, , 12F
01/16 01:44, 12F
推
01/16 01:45, , 13F
01/16 01:45, 13F
→
01/16 11:51, , 14F
01/16 11:51, 14F
→
01/16 11:51, , 15F
01/16 11:51, 15F
→
01/16 11:51, , 16F
01/16 11:51, 16F
→
01/16 11:52, , 17F
01/16 11:52, 17F
推
01/16 20:00, , 18F
01/16 20:00, 18F
推
01/16 20:22, , 19F
01/16 20:22, 19F
→
01/16 20:25, , 20F
01/16 20:25, 20F
推
01/17 13:11, , 21F
01/17 13:11, 21F
推
01/17 19:48, , 22F
01/17 19:48, 22F
推
01/19 22:59, , 23F
01/19 22:59, 23F
→
01/20 00:02, , 24F
01/20 00:02, 24F
→
01/20 00:03, , 25F
01/20 00:03, 25F
推
02/11 19:11, , 26F
02/11 19:11, 26F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章