[心得] 勒索病毒的行為特徵 以及自保方法
https://www.facebook.com/permalink.php?story_fbid=10209224702953961&id=1212795524
https://goo.gl/tkjJGX
根據大陸人的反解譯後歸納出一些特性
http://www.freebuf.com/articles/system/134578.html
根據文件的描述
勒索病毒會終止5種常見SQL service執行緒
mysqld.exe
sqlwriter.exe
sqlserver.exe
MSExchange
以及避開 幾個常見的系統路徑
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
這幾個動作相當合邏輯
因為要避免讓系統直接垮掉 以致無法付贖金
因此 產生了關鍵防護特徵
1. 在重要目錄上 附加上述路徑 偽裝成系統目錄
2. 創建同名虛假執行緒 並加以監聽 只要發現執行緒失效 馬上警示 並進行關機
這個概念類似1.bmp
在防護效果上
1 有可能可以透過病毒升級修改規則而防護失效
但是攻擊者就必須想出其他方法避開攻擊系統目錄
而2 就比較難取捨 服務名稱無法變動 除非攻擊者願意放棄攻擊SQL
1是普通人都可以做到的基本保護
2需要一點程式技巧 雖說不難 但也要花時間寫程式
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.72.102
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494786060.A.213.html
※ JeremyJoung:轉錄至看板 Gossiping 05/15 02:28
推
05/15 02:57, , 1F
05/15 02:57, 1F
→
05/15 02:59, , 2F
05/15 02:59, 2F
→
05/15 03:00, , 3F
05/15 03:00, 3F
→
05/15 03:06, , 4F
05/15 03:06, 4F
→
05/15 03:06, , 5F
05/15 03:06, 5F
推
05/15 03:11, , 6F
05/15 03:11, 6F
→
05/15 03:18, , 7F
05/15 03:18, 7F
推
05/15 03:19, , 8F
05/15 03:19, 8F
推
05/15 05:36, , 9F
05/15 05:36, 9F
推
05/15 06:25, , 10F
05/15 06:25, 10F
推
05/15 07:56, , 11F
05/15 07:56, 11F
→
05/15 07:56, , 12F
05/15 07:56, 12F
→
05/15 07:56, , 13F
05/15 07:56, 13F
如果是D:\Program Files\Document
在這次的病毒中 理論上就不會受到攻擊
推
05/15 09:36, , 14F
05/15 09:36, 14F
※ 編輯: JeremyJoung (118.163.72.102), 05/15/2017 12:23:33
推
05/15 12:38, , 15F
05/15 12:38, 15F
推
05/15 19:16, , 16F
05/15 19:16, 16F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
