Re: [心得] 勒索软件隐藏磁盘机代号测试
楼主: chang0206 (Eric Chang) 2015-12-01 10:11:09
※ 引述《qxxrbull (白猫Project)》之铭言:
: 如题
: 之前我打了一篇#1MM50tcZ (AntiVirus)
: "隐藏磁盘机代号是否能够避免勒索软件"
: 这一次找来了许多样本
: 包括torrentlocker(crypt0l0cker) CTB-locker
: cryptowall3.0(4.0样本有人有吗 我找不到) cryptoholder(这好像比较少见)
: 这一些样本 来进行测试
: 这一次被测试的内容有doc docx xlsx jpg cpp wmv exe这一些
: 不过自己写的EXE似乎不会 或许是档案太小
执行档如果也被加密,有可能会造成系统无法开机
使用者就看不到被勒索的讯息,就没有经济来源啦~
所以我不认为.exe 档会被当作加密标的
: 结论
: 这招目前看起来还是有效的
: 不过不确定在日后变种还会不会有效
: 最好的方法就是用其他硬盘备份 之后拔出来
: 有几个好处
: 一就是这样绝对不会被加密勒索
: 二就是如果你电脑的电源供应器出问题 把所有硬盘打坏 这样就能避免了
: 话说有人可以提供给我 cryptowall4.0的样本吗
: 想要玩看看
其实这招我之前有想过,也测试过,的确有用(马后砲? XD )
我之前的笔记的结论是这样
1.使用者的重要资料,必须要存在固定的磁盘
如果你的资料都放在外接硬盘,那这招对你有帮助
但是如果资料散布在各个地方(我相信大部分使用者都如此)
那就没啥太大帮助
2.隐藏磁盘的作法稍嫌复杂
这点其实还好,网络上有文章可以参考
把要隐藏的磁区用registry修改然后汇出隐藏、显示两个registry档
当要复制、读取资料的时候,就汇入显示的机码
要隐藏的时候,再汇入隐藏的机码
请参考 http://www.pctools.com/guides/registry/detail/148/
还有其他方式,像是编辑一个批次档,去叫diskpart把磁盘代号remove掉
请参考 http://goo.gl/EPGrqD
3.最重要的一点是使用者习惯的改变
因为我是站在公司资讯环境的角度看这个作法带来的冲击和效益
想要求使用者在存取资料前,先去点两下桌面的图示显示
然后用完了,再去点两下隐藏起来
光提这个作法,我就可以想像在会议上会怎么被公干...
anyway
小结一下
如果你需要保存的资料,都是放在同一个磁区
而且你看了上面两篇参考网址的文章,觉得照着操作不困难
也能接受使用习惯的改变,那么,这个作法对你就有帮助!
: 如题
: 之前我打了一篇#1MM50tcZ (AntiVirus)
: "隐藏磁盘机代号是否能够避免勒索软件"
: 这一次找来了许多样本
: 包括torrentlocker(crypt0l0cker) CTB-locker
: cryptowall3.0(4.0样本有人有吗 我找不到) cryptoholder(这好像比较少见)
: 这一些样本 来进行测试
: 这一次被测试的内容有doc docx xlsx jpg cpp wmv exe这一些
: 不过自己写的EXE似乎不会 或许是档案太小
执行档如果也被加密,有可能会造成系统无法开机
使用者就看不到被勒索的讯息,就没有经济来源啦~
所以我不认为.exe 档会被当作加密标的
: 结论
: 这招目前看起来还是有效的
: 不过不确定在日后变种还会不会有效
: 最好的方法就是用其他硬盘备份 之后拔出来
: 有几个好处
: 一就是这样绝对不会被加密勒索
: 二就是如果你电脑的电源供应器出问题 把所有硬盘打坏 这样就能避免了
: 话说有人可以提供给我 cryptowall4.0的样本吗
: 想要玩看看
其实这招我之前有想过,也测试过,的确有用(马后砲? XD )
我之前的笔记的结论是这样
1.使用者的重要资料,必须要存在固定的磁盘
如果你的资料都放在外接硬盘,那这招对你有帮助
但是如果资料散布在各个地方(我相信大部分使用者都如此)
那就没啥太大帮助
2.隐藏磁盘的作法稍嫌复杂
这点其实还好,网络上有文章可以参考
把要隐藏的磁区用registry修改然后汇出隐藏、显示两个registry档
当要复制、读取资料的时候,就汇入显示的机码
要隐藏的时候,再汇入隐藏的机码
请参考 http://www.pctools.com/guides/registry/detail/148/
还有其他方式,像是编辑一个批次档,去叫diskpart把磁盘代号remove掉
请参考 http://goo.gl/EPGrqD
3.最重要的一点是使用者习惯的改变
因为我是站在公司资讯环境的角度看这个作法带来的冲击和效益
想要求使用者在存取资料前,先去点两下桌面的图示显示
然后用完了,再去点两下隐藏起来
光提这个作法,我就可以想像在会议上会怎么被公干...
anyway
小结一下
如果你需要保存的资料,都是放在同一个磁区
而且你看了上面两篇参考网址的文章,觉得照着操作不困难
也能接受使用习惯的改变,那么,这个作法对你就有帮助!
作者: changeagle (老鹰) 2015-12-02 13:55:00
之前我不知道有防毒板 中标才上来查然后我必须说 我中标的是外接(还两颗) 相关资讯可以找我发的文 我猜 骇客还是有在挑档案在锁我内建硬盘的重要档案很少 也几乎没事
作者: BenShiuan (璇璇) 2015-12-03 10:01:00
把档案压缩成自解档(*.exe)备份有没有用啊
作者: aqwerty (邓丽君板成立) 2015-12-04 00:13:00
隐藏磁盘 路径打代号还是进得去 这样防的住吗?
楼主: chang0206 (Eric Chang) 2015-12-04 10:18:00
没有吧,你不给他磁盘代号 就进不去了啊
作者: aqwerty (邓丽君板成立) 2015-12-04 14:11:00
我是用第一个方法隐藏的 第二个方法批次档不会写>"<
作者: Justisaac (灰色的天空) 2015-12-05 02:42:00
BenSHiuan的方法应该有用吧 他自动避开.exe了
作者: tsai82118 (PeteR) 2015-12-05 14:07:00
第二个方法用diskpart满简单的
作者: wotupset (wotupset) 2015-12-10 06:53:00
我是用"分区助手"隐藏分割区 google有载点 是中文的![]()
" target="_blank" rel="nofollow">
![]()
不会改reg的可以试试
" target="_blank" rel="nofollow"> 不会改reg的可以试试作者: abram (科科) 2015-12-10 08:40:00
我直接在装置管理员把该硬盘停用 这样病毒还找的到就佩服