[心得] 將檔案藏進特殊資料夾躲避勒索軟體的追殺

看板AntiVirus (防毒)作者pendoth (46825)時間10年前 (2016/06/11 07:54)推噓8(8推 0噓 7→)

留言15則, 11人參與討論串1/1

經過之前的小實驗，我們知道目前的勒索軟體無法加密像123.這種後面附點特殊名稱資料夾下的文件，可是好像大多數的人都無法建立正確的123.資料夾，拜了好一陣GOOGLE大神，今算是有點回應了，直接在WIN7或WIN10下建立是可行的！不用再拿去XP系統弄了！然候感謝上次下方留言網友[Bellkna]提示，可以將分割區掛到該特殊資料夾下，測試的確是行的通的，所以就決定再重寫一次完整建制過程，在WIN10下這次。範例為掛接D槽至C槽底下Data.資料夾實作注：以下教程建議由家長全程陪同，檔案可貴資料無價。步1.建立Data.資料夾於C槽根目錄(資料夾名稱可自定，但限最多7個半形字母) 開啟命令提示字元，輸入以下指令， C:\>mkdir \\?\C:\Data. http://i.imgur.com/GLFBJ0v.png

看到特殊名稱資料夾被建立，且無法直接更名、存取、刪除。 http://i.imgur.com/eaAe1lZ.png

步2.掛接資料分割區(D槽)於Data.資料夾下開啟磁碟管理介面，於資料分割區右鍵選擇"變更磁碟機代號及路徑"。 http://i.imgur.com/VMAkoJS.png

移除原先磁碟代號。(此步驟並不會影響該分割區下檔案) http://i.imgur.com/cq913NG.png

新增磁碟代號時選擇"掛在下列空的NTFS資料夾下"。路徑手動輸入\\?\C:\Data. http://i.imgur.com/16B1vLH.png

看到Data.資料夾圖示改變，但仍無法直接更名、存取、刪除。 http://i.imgur.com/m7xEvLj.png

步3.建立方便進入點(Optional) 桌面右鍵新增捷徑。 http://i.imgur.com/Ru6QMJa.png

輸入位置， cmd.exe /c start C:\Data~1 http://i.imgur.com/sMbv9jf.png

捷徑名稱隨意，後完成。 http://i.imgur.com/BqzRM5S.png

右鍵雙擊執行便可進入原先資料分割區， http://i.imgur.com/vL4SGhz.png

補充：之1.資料夾Data.下面不屬C槽，故不會影響C槽顯示容量。之2.底下資料夾及檔案刪除時將會直接刪除請注意！！！之3.如有執行檔極可能會因為路徑問題而無法使用。之4.大部份文件、圖片、影音皆可直接開啟、讀取、寫入及存檔，少部份則有問題，例如：使用PowerPoint2016無法開啟PPT檔，但PowerPoint2010卻可正常存取...欸微軟之5.系統保謢頁面下會因分割區路徑不合法而產生"災難性的失敗"。 http://i.imgur.com/G8NX5Z0.png

之6.移除掛接點輸入指令rmdir \\?\C:\Data.即可測試：桌面及Data.資料夾各放入相同及不同的資料檔案 http://i.imgur.com/5orQkfB.png

測1.CERBER(.cerber) http://i.imgur.com/SUkXp4j.png

結果檔案存活測2.CryptXXX(.Cryptz) http://i.imgur.com/NXz9tLJ.png

結果檔案存活測3.Mischa(4QjQ) http://i.imgur.com/aKArpUM.png

結果檔案存活基本上我能找的到勒索軟體都試過了，卻還沒有出現吃的到裡面東西的傢伙，要針對這種短檔名路徑才能存取的資料夾內部作加密，應該也不是什麼難事，就看設計的人有沒有考慮到這個問題，因為這藏檔案的方法說實在也很少人知道，或許可用性會比想像中高。差不多這樣。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.60.208 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465602889.A.5EB.html

推

agong

06/11 08:28, , 1^F

06/11 08:28, 1^F

推

skill1095

06/11 08:37, , 2^F

06/11 08:37, 2^F

→

sa12e3

06/11 09:29, , 3^F

06/11 09:29, 3^F