如题
之前我打了一篇#1MM50tcZ (AntiVirus)
"隐藏磁盘机代号是否能够避免勒索软件"
这一次找来了许多样本
包括torrentlocker(crypt0l0cker) CTB-locker
cryptowall3.0(4.0样本有人有吗 我找不到) cryptoholder(这好像比较少见)
这一些样本 来进行测试
这一次被测试的内容有doc docx xlsx jpg cpp wmv exe这一些
http://i.imgur.com/4pehB5a.jpg
↑我们先将东西放进去那个等等要被隐藏的磁盘区内
http://i.imgur.com/wBXxu0T.jpg
↑接着将该磁盘区代号移除
http://i.imgur.com/WCbdYra.jpg
↑接着，执行所有的病毒样本
(执行过程 明显感觉CPU风扇变大声一些，但是其实不会很大声)
在点击时 我有开UAC 但是没有跳出确认是否要执行的视窗 So...
有些是执行完毕后 原本的档案就直接消失 有些则不会
http://i.imgur.com/BSrIemV.jpg
↑过几分钟后 档案开始被加密
http://i.imgur.com/F562SFO.jpg
↑并且会一直跳出有东西停止运作
http://i.imgur.com/SLjVieD.jpg
↑重开机后 桌面由CTB-locker成功拿下
http://i.imgur.com/d6cUBSe.jpg
http://i.imgur.com/trRI1s7.jpg
↑但大多数的东西还是由cryptowall3.0拿下(当然不排除一个档案被多次加密了)
http://i.imgur.com/ST8Fuj2.jpg
↑RAR ZIP 7Z通通被加密，但是应用程式.exe却没有
实际打开GPU-Z 确定正常可以开
http://i.imgur.com/BOqrZu2.jpg
↑强制打开都是乱码
http://i.imgur.com/2aEij9v.jpg
↑之后跳出这个 推测是勒索软件想要砍掉磁盘区阴影复制 让你无法还原
http://i.imgur.com/4kwbhw2.jpg
↑doc docx xlsx jpg cpp wmv通通被加密
不过自己写的EXE似乎不会 或许是档案太小
http://i.imgur.com/GoL7Pm4.jpg
↑这时后使用百度云查杀 清除感染，避免档案再次被加密(随便找一个来用的)
(PS 实际上请不要这样搞 请去用PE来搞，防毒软件不一定有用)
http://i.imgur.com/A8j3uwL.jpg
↑这时候恢复磁盘机代号，并打开
档案似乎都没被勒索到
http://i.imgur.com/DufR1Zl.jpg
↑试开看看 确定完全没问题
(当然 在C槽以经被加密的档案还是QQ了)
结论
这招目前看起来还是有效的
不过不确定在日后变种还会不会有效
最好的方法就是用其他硬盘备份 之后拔出来
有几个好处
一就是这样绝对不会被加密勒索
二就是如果你电脑的电源供应器出问题 把所有硬盘打坏 这样就能避免了
话说有人可以提供给我 cryptowall4.0的样本吗
想要玩看看

我是在装置管理员把该硬盘disable掉 相当于就拔掉了停用

嗯嗯 特别是笔电多只有一颗硬盘 谢谢测试分享啦

实验推

让我想到之前有一篇炼蛊的文章 XDDDDDDDDDDD

推测试 另想问浏览器开隐私模式 会不会降低中这个的机率?

推实验精神

隐私模式+flash 还是会中

推一下练蛊的勇气！样本有找过对岸的kafan吗？

练蛊王

总之 不要用flash+km player 大概要中也难了

到底跟KMP有啥关系啊= =

跟KMP没有绝对关系，我会中大概是骇客刚好藉Kmp更新包入侵电脑，这个毒来源还是很难

这是在系统管理者下使用uac再去试毒的情况下对吧？那想请q大试试如果在guest帐号下登入中毒是否有效uac本身并无法限制档案存取，如果是用guest登入无法写入档案的话 病毒是否还能够运作

UAC本来就没什么作用.....

改用Windows to Go设定唯读算了…

1F那个停用硬盘的方法 应该就不会中了吧?

要不要试试沙盘+HIPS?

沙盘+1

除非允许直接存取,否则沙盘内的病毒不会感染沙盘外的档案

炼蛊正夯 = =