[心得] 勒索軟體隱藏磁碟機代號測試

看板AntiVirus (防毒)作者qxxrbull (白貓Project)時間10年前 (2015/11/30 22:01)推噓16(16推 0噓 9→)

留言25則, 18人參與討論串1/2 (看更多)

如題之前我打了一篇#1MM50tcZ (AntiVirus) "隱藏磁碟機代號是否能夠避免勒索軟體" 這一次找來了許多樣本包括torrentlocker(crypt0l0cker) CTB-locker cryptowall3.0(4.0樣本有人有嗎我找不到) cryptoholder(這好像比較少見) 這一些樣本來進行測試這一次被測試的內容有doc docx xlsx jpg cpp wmv exe這一些 http://i.imgur.com/4pehB5a.jpg

↑我們先將東西放進去那個等等要被隱藏的磁碟區內 http://i.imgur.com/wBXxu0T.jpg

↑接著將該磁碟區代號移除 http://i.imgur.com/WCbdYra.jpg

↑接著，執行所有的病毒樣本 (執行過程明顯感覺CPU風扇變大聲一些，但是其實不會很大聲) 在點擊時我有開UAC 但是沒有跳出確認是否要執行的視窗 So... 有些是執行完畢後原本的檔案就直接消失有些則不會 http://i.imgur.com/BSrIemV.jpg

↑過幾分鐘後檔案開始被加密 http://i.imgur.com/F562SFO.jpg

↑並且會一直跳出有東西停止運作 http://i.imgur.com/SLjVieD.jpg

↑重開機後桌面由CTB-locker成功拿下 http://i.imgur.com/d6cUBSe.jpg

http://i.imgur.com/trRI1s7.jpg

↑但大多數的東西還是由cryptowall3.0拿下(當然不排除一個檔案被多次加密了) http://i.imgur.com/ST8Fuj2.jpg

↑RAR ZIP 7Z通通被加密，但是應用程式.exe卻沒有實際打開GPU-Z 確定正常可以開 http://i.imgur.com/BOqrZu2.jpg

↑強制打開都是亂碼 http://i.imgur.com/2aEij9v.jpg

↑之後跳出這個推測是勒索軟體想要砍掉磁碟區陰影複製讓你無法還原 http://i.imgur.com/4kwbhw2.jpg

↑doc docx xlsx jpg cpp wmv通通被加密不過自己寫的EXE似乎不會或許是檔案太小 http://i.imgur.com/GoL7Pm4.jpg

↑這時後使用百度雲查殺清除感染，避免檔案再次被加密(隨便找一個來用的) (PS 實際上請不要這樣搞請去用PE來搞，防毒軟體不一定有用) http://i.imgur.com/A8j3uwL.jpg

↑這時候恢復磁碟機代號，並打開檔案似乎都沒被勒索到 http://i.imgur.com/DufR1Zl.jpg

↑試開看看確定完全沒問題 (當然在C槽以經被加密的檔案還是QQ了) 結論這招目前看起來還是有效的不過不確定在日後變種還會不會有效最好的方法就是用其他硬碟備份之後拔出來有幾個好處一就是這樣絕對不會被加密勒索二就是如果你電腦的電源供應器出問題把所有硬碟打壞這樣就能避免了話說有人可以提供給我 cryptowall4.0的樣本嗎想要玩看看 -- ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 看板《WhiteCat》 ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 白貓 Project板 ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 怎麼前往 ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄(C)lass->7 戰略高手 ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄->9 G_MobileGame ▄ ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄->WhiteCat 動作 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.39.154 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1448892094.A.AB5.html

推

abram

11/30 22:10, , 1^F

11/30 22:10, 1^F

→

abram

11/30 22:12, , 2^F

11/30 22:12, 2^F

其實直接在bios裡面將那個SATA PORT disable會更好但是有些主機板沒辦法這樣搞而且對於硬碟只有一顆的人來說也沒辦法

推

abramtw

11/30 22:14, , 3^F