Re: [討論] 勒索病毒的入侵討論
我想說一下使用者帳戶控制UAC的部分,「病毒加密行為這個動作並不會觸發使用者帳戶
控制(UAC)」,但是「要刪除磁區陰影複製會觸發 UAC」。
一般勒索病毒做的事幾乎都一樣,加密檔案→刪除檔案。這也是為什麼一般硬碟救援或
Windows 內建的系統還原(系統保護)有機會救回檔案(這邊指的是被刪除的檔案,而不
是被加密的檔案)的原因。病毒作者當然不樂見這種事發生,因此病毒通常會多加上一個
刪除 Windows 磁區陰影複製的功能,刪掉了陰影複製之前建立的系統還原也就廢了。
所以總結上述兩段話,勒索病毒執行後簡單分大概就三種常見情形:
1. 不刪陰影複製→ UAC 沒反應→ 加密
2. 刪除陰影複製→ UAC 詢問視窗(是→ 被刪、否→ 保留)→ 加密
3. 刪除陰影複製+加密→ UAC 詢問視窗(是→ 被刪且加密、否→ 病毒就不運行)。
※ 引述《squareneo (透)》之銘言:
: 到目前為止中毒的方式千百種,因為大家使用網路習慣也千百種
: 想大家來討論自己沒中獎的方式,來防範與當作一個好習慣
: 1.有沒有使用"防毒軟體"依舊還中毒的,
: 如果是為了下載軟體,影片而關閉防毒的範例不算。
: 卡巴用起來防護不錯,有人因此還中毒嗎?
: 2.雲端導致中毒嗎?
: Ex:dropbox(或google)與朋友共用的資料夾,別人電腦中毒,緊接著同步?
: dropbox主機也中毒?
: 3.區域網路關閉共用,是避免中毒的暫時防治方式
: 4.ie關閉自動確定功能,或是系統升級win10並且使用正版
: 5.控制台-變更使用者帳戶控制設定-調整為高
: 大家能提供更好的防範方式與建議嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.27.117
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465229523.A.BE7.html
推
06/07 00:19, , 1F
06/07 00:19, 1F
→
06/07 00:22, , 2F
06/07 00:22, 2F
→
06/07 00:22, , 3F
06/07 00:22, 3F
→
06/07 00:27, , 4F
06/07 00:27, 4F
推
06/07 00:29, , 5F
06/07 00:29, 5F
→
06/07 00:29, , 6F
06/07 00:29, 6F
→
06/07 00:29, , 7F
06/07 00:29, 7F
推
06/07 00:32, , 8F
06/07 00:32, 8F
→
06/07 00:32, , 9F
06/07 00:32, 9F
推
06/07 00:36, , 10F
06/07 00:36, 10F
→
06/07 00:43, , 11F
06/07 00:43, 11F
→
06/07 00:45, , 12F
06/07 00:45, 12F
→
06/07 00:47, , 13F
06/07 00:47, 13F
→
06/07 00:48, , 14F
06/07 00:48, 14F
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 00:57:08
推
06/07 00:56, , 15F
06/07 00:56, 15F
→
06/07 00:56, , 16F
06/07 00:56, 16F
目前都認為IE跟FLASH的問題比較大,但也不知道把它們都更新到最新的話,病毒是否還
能藉由漏洞進來,這要統計受害者所使用的瀏覽器、IE版本、FLASH版本工程浩大,暫時
都更新到最新,然後能不要用就不要用可能是現階段比較好的選擇。
推
06/07 01:14, , 17F
06/07 01:14, 17F
其實UAC開預設,不要去關它就好了。
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 01:55:52
→
06/07 07:53, , 18F
06/07 07:53, 18F
推
06/07 09:08, , 19F
06/07 09:08, 19F
→
06/21 05:04, , 20F
06/21 05:04, 20F
討論串 (同標題文章)
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
