[公告] 文章回朔 Re:[討論] 中勒索病毒真的沒救了?

看板AntiVirus (防毒)作者skycat2216 (skycat2216)時間5年前 (2020/05/06 22:35)推噓6(6推 0噓 4→)

留言10則, 7人參與討論串1/1

※ 引述《s11924 (陷阱金屬小妹)》之銘言： : 小妹資安的報告主題是勒索病毒啦所以最近在大量的找資料 : 版上看了一輪很多推文都直接說沒救了但有些說要先拔網路線為什麼阿？ : 就我目前的認知勒索病毒有幾種方法 1.直接加密你的檔案這次加密後的檔案查看建立時間與原檔案一樣，修改時間則是變成.lck當下的時間所以救援軟體可能沒辦法解決 : 2. 先刪除你的檔案在做一個假的加密檔 : 3. 直接把妳的檔案抓到他的硬碟再刪光 : 當然還有分加密型和非加密型啦 : 那這真的是無解的只能預防？網路上的破解軟體是不是其實都是用暴力解密？這次加密的確採RSA2048，每個磁碟完成加密後會丟下一個txt的聯絡Email與RSA2048的加密內容，而不是像之前會出現一隻小程式開啟小視窗；從早期釣魚信件單純感染該台電腦硬碟、網路磁碟、外接硬碟，後來從網路隨機亂打鳥方式攻Windows SMB漏洞，到現在硬體接觸式(任何USB媒介)或釣魚後偽裝等取得權限，再透過群組原則或工作排程等方式進行統一時間發作，只要有用網域的單位，就得小心，同時也挑戰防毒的抵擋能力，以趨勢Officescan來講，病毒碼15.849之後版本才能偵測到；拔網路線的確就是避免擴大、斷NAS，關機的話加密到一半，沒有完成整個磁碟槽加密不會產生談判的txt檔案；最後來講這次加密仍然躲過的檔案類型，例如.dll、.msi這種都沒事，所以如果硬碟空間夠大，可以考慮手動將重要的資料弄成壓縮檔，把副檔名改成以上檔案類型；如果有用NAS，可以考慮改\\方式連線，不要掛網路磁碟機； NAS本身有些提供整機備份、異機還原的功能也建議定期去備份。推 s11924: 改副檔名有用嗎？病毒會查標頭吧 → KyA: 這次是攻副檔名 D槽內有.dll逃過一劫推 pipishan: @Kya 你是說這次中油的這隻改dll有閃過嗎？ → dennisxkimo: 微軟內建防毒功能 Controlled folder access 推 tswu8: NAS上能限制使用者採//連線嗎？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.136.42.250 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1588775729.A.4A5.html