我本身也是苦主,是在2015年七月中的Crypt0L0cker,
当时没下载东西,应该是用IE看到免空的广告中的,
损失了一堆照片,也是那之后才认识了沙盘这软件。
自从有aria0520大发布的简易监控小脚本,
还有Moscato大修改的新增提示版后,
真的是让人振奋阿,一直想要练蛊测试,
却一直没有成功,按下病毒样本无反应。
我想应该不是正确的病毒样本吧。
过了一段时间,昨天我又在网上搜寻了一遍,
这次成功了,过了约二分钟跳出勒索视窗。
样本是 CryptoWall 4.0版,档名+附档名都变乱码。
为了测试后的快速还原,一样用虚拟电脑跑,
用的是免费版的VirtualBox,及它的快照功能。
简单心得如下;
1.
执行病毒的当下若是断网病毒不会发作,
但是一旦连网就开始执行恶意加密动作。
2.
它加密的顺序从C槽打开的“第一个资料夹”开始(依排序名称)
资料夹内加密档案也是依照名称,
假设这资料夹命名为001资料夹好了,
里面的档案0001.mp4是一部1GB的影片,
还有100张各1MB从001到100.jpg的复制图片,
它会先花比较长的时间把这影片加密后
(因为电脑世界里0001排序在001之前)
(取决于电脑性能,我自己等了约1分20秒)
才会继续把剩下的100张图片加密,
由于这些图片档案小,加密时间就相当快了。
3.
参考orze04大的PO文
把待监测档1.jpg放在名称为“!test”的资料夹下监测
止血效果要比直接放在C槽下要好很多。
因!开头会比数字还要前面
即 C:\!test\1.jpg 优于 C:\1.jpg
4.
在Win7系统下,若病毒开始加密后,
且监控小脚本成功侦测并关机止血,
此时就算是“断网”再开机,
它还是会继续加密剩余档案,
并在完成后跳出勒索视窗。
so...※要救援剩余档案请找其他开机媒介。
结语:
简单的测试恐有疏漏,加上此系列又有变种,
此次结果不保证适用其他新的勒索病毒,
给有兴趣的板友纯作参考用,谢谢。