PTT數位生活區 / AntiVirus (防毒)

[心得] 勒索病毒對策:簡易監控小腳本

看板AntiVirus (防毒)作者 (紫)時間10年前 (2015/12/10 22:05), 10年前編輯推噓27(27033)
留言60則, 32人參與, 最新討論串1/2 (看更多)
總之,寫了一個簡單的小腳本 基本概念就是他會每30秒監測C:/1.jpg這個路徑 如果這個路徑消失了(也就是1.jpg被修改)就會強迫關機 例如被改成1.jpg.vvv就會0秒強迫關機 我把腳本放在ntu space可以安心下載(更新ver2.01) https://goo.gl/00d20D 內有兩個檔案: 1.jpg 監控用的vbs腳本 如果不放心可以直接右鍵編輯看裡面的程式碼 也可以自行修改,概念很簡單 使用方法直接解壓縮在C槽底下就行 要上網之類的時候就點一下vbs檔,就會開始監控了 佔的資源極小基本上可以忽視 如果要開機自動執行的話也很簡單 win+R 執行gpedit.msc 按電腦設定/windows設定/指令碼(啟動/關機) 把vbs腳本新增進去即可 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.147.16.95 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1449756300.A.772.html
12/10 22:34, , 1F
也有一說是從桌面的檔案開始加密
12/10 22:34, 1F
12/10 22:36, , 2F
我手邊的,jpg空白他會不理
12/10 22:36, 2F
12/10 23:19, , 3F
感謝分享
12/10 23:19, 3F
※ 編輯: aria0520 (27.147.16.95), 12/10/2015 23:34:06 ※ 編輯: aria0520 (27.147.16.95), 12/10/2015 23:43:53
12/10 23:57, , 4F
感謝分享 秒數設定再短一點會有影響嗎?
12/10 23:57, 4F
12/10 23:58, , 5F
不會,可以自行修改wscript.sleep 30000 這行
12/10 23:58, 5F
12/10 23:58, , 6F
10秒就是10000
12/10 23:58, 6F
12/11 00:12, , 7F
作者有測試過嗎?
12/11 00:12, 7F
12/11 00:21, , 8F
12/11 00:21, 8F
12/11 01:03, , 9F
可以用.感謝!
12/11 01:03, 9F
12/11 01:08, , 10F
感謝 但是否還是會有其他檔案被修改嗎
12/11 01:08, 10F
12/11 02:08, , 11F
意義不大,因為當你的 C:\1.jpg 不見的時候我的文件桌
12/11 02:08, 11F
12/11 02:08, , 12F
面的東西已經拜了
12/11 02:08, 12F
12/11 02:22, , 13F
是否可多個地方存放1.jpg監控?檔名改成排序最前面會
12/11 02:22, 13F
12/11 02:22, , 14F
不會少一點災情,不過也不知道同一個資料夾一堆jpg病毒
12/11 02:22, 14F
12/11 02:22, , 15F
從哪個開始加密,速度很快不過至少減少一些災情
12/11 02:22, 15F
12/11 02:48, , 16F
作者給了架構,你可以用記事本自己編裡面
12/11 02:48, 16F
12/11 03:04, , 17F
謝謝!!
12/11 03:04, 17F
12/11 07:40, , 18F
將"1.jpg"改成"!.jpg",在排序時會比較優先
12/11 07:40, 18F
12/11 10:23, , 19F
請問強迫關機之後要怎麼辦?再開機還是?
12/11 10:23, 19F
12/11 10:26, , 20F
拔網路線啊
12/11 10:26, 20F
12/11 10:35, , 21F
強迫關機 拔硬碟到其他電腦
12/11 10:35, 21F
12/11 11:20, , 22F
拔硬碟到其他電腦 會有用嗎...
12/11 11:20, 22F
12/11 11:40, , 23F
拔硬碟去其他電腦,是讓你趕快備份還沒被加密的檔案
12/11 11:40, 23F
12/11 12:08, , 24F
12/11 12:08, 24F
12/11 12:20, , 25F
任何裝置都不要連上被感染的OS槽
12/11 12:20, 25F
12/11 13:10, , 26F
推 值得鼓勵
12/11 13:10, 26F
12/11 14:00, , 27F
關機以後用Ubuntu Live CD啟動救資料
12/11 14:00, 27F
12/11 17:36, , 28F
我下載下來後點開執行後就關機了,這樣表示中獎了嗎?
12/11 17:36, 28F
12/11 17:51, , 29F
樓上 你有把檔案放對位置嗎XD
12/11 17:51, 29F
12/11 18:10, , 30F
謝謝樓上提醒!噓自己一下...就在上午中獎一台電腦後
12/11 18:10, 30F
12/11 18:11, , 31F
已經被這vvv嚇死了 :(
12/11 18:11, 31F
12/11 20:13, , 32F
1.jpg 學姐與學弟
12/11 20:13, 32F
12/11 20:19, , 33F
XD
12/11 20:19, 33F
12/11 21:34, , 34F
結果漏掉這個 先加密別的檔案 XD
12/11 21:34, 34F
12/11 21:40, , 35F
剛試了 可以用 感謝
12/11 21:40, 35F
12/11 22:13, , 36F
其實我覺得這個不一定有用耶,萬一不是從C:\開始也沒用
12/11 22:13, 36F
12/11 22:13, , 37F
而且下完指令等他慢慢關機也加密得差不多了
12/11 22:13, 37F
12/11 22:13, , 38F
不過有心還是推一個
12/11 22:13, 38F
12/11 23:05, , 39F
請問有異況發生時先關機比較好還是先拔掉網路比較好?
12/11 23:05, 39F
12/11 23:13, , 40F
謝謝阿
12/11 23:13, 40F
12/12 00:03, , 41F
樓上上 直接把電源關掉最快
12/12 00:03, 41F
12/12 00:30, , 42F
不會慢慢關機 應該是會馬上強迫關機
12/12 00:30, 42F
12/12 00:31, , 43F
總之就當做個停損點8
12/12 00:31, 43F
12/14 18:21, , 44F
請問開機自動執行是加入"關機"這個選項 指令碼vbs嗎3Q
12/14 18:21, 44F
12/15 09:18, , 45F
感謝
12/15 09:18, 45F
12/15 14:31, , 46F
若加入開機啟動並不幸中標 會陷入開機、關機的迴圈嗎
12/15 14:31, 46F
12/15 14:37, , 47F
這應該惿關機後,拔硬碟到另一台備份尚未被加密的資料..
12/15 14:37, 47F
12/15 22:23, , 48F
回樓上上,會。
12/15 22:23, 48F
12/16 08:22, , 49F
針對原PO的腳本,我小改寫了一下加入紀錄jpg檔被修改的功
12/16 08:22, 49F
12/16 08:22, , 50F
能,同時加入了對話方塊提醒使用者發現檔案已被變更,紀
12/16 08:22, 50F
12/16 08:24, , 51F
錄檔的位置會在目前使用者的我的文件資料夾下 名稱為
12/16 08:24, 51F
12/16 08:37, , 52F
已偵測對C:\1.jpg檔案的變更.txt
12/16 08:37, 52F
12/16 08:38, , 53F
請將偵測用的log_of_1.jpg.bat檔與jpg檔放置在C:\目錄下
12/16 08:38, 53F
12/16 08:38, , 54F
並下載我的vbs腳本取代原PO寫的 當然也可以右鍵看原始碼
12/16 08:38, 54F
12/16 08:39, , 55F
自己把那部份的程式碼移植過去
12/16 08:39, 55F
12/16 08:43, , 56F
12/16 08:43, 56F
12/16 08:50, , 57F
不然電腦自己關機了還不知道為什麼
12/16 08:50, 57F
12/18 07:23, , 58F
修改了一下 取消從外部呼叫bat 避免找不到批次檔時無法繼
12/18 07:23, 58F
12/18 07:24, , 59F
續接下來的關機指令 https://goo.gl/EgD61s
12/18 07:24, 59F
01/08 04:36, , 60F
這超有用 剛剛就發揮功效了= =
01/08 04:36, 60F
更多 aria0520 的文章
文章代碼(AID): #1MQOQCTo (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 aria0520 的文章
文章代碼(AID): #1MQOQCTo (AntiVirus)