Re: [问题] 档案改唯读,是否可破勒索病毒行为?

楼主: lmkkml (小羊~~~)   2016-06-06 16:27:26
※ 引述《GAMETYRANT ( 深水无痕 )》之铭言:
: 好多年没逛防毒版,过去靠着疯狂等级的 comodo 护持
: 即使没装任何防毒程式,电脑这样裸奔了多年也没中过毒
: 但这波勒索病毒的灾情确实怵目惊心
: 尤其这波病毒,专挑文件档、多媒体档这类容易被 HIPS 忽略的档案下手
: 假设说,将特定磁盘机、特定资料夹、或特定档案,改成唯读状态
: 不知有无办法对抗这勒索病毒的背景加密行为?
: ( 许多多媒体档案,终其一生不会进行编辑,改成唯读似乎有利无弊 )
直接拿病毒来做实验(先说一下这是在系统管理员帐户底下测试的),创三个文件夹1~3,1号是勾选唯读(这个唯读是仅套用资料夹中的档案)、2号是把 administrators 的写入权限封死,勾选禁止写入、3号是把自己的管理员帐户只保留唯读。分别是下面三张图:
http://i.imgur.com/XAbX5HN.png
http://i.imgur.com/223Rmcp.png
http://i.imgur.com/NXdFqGw.png
执行病毒 UltraCrypter(.cryp1)后,1号资料夹阵亡如下图,2、3号资料夹没事。
http://i.imgur.com/72eTrhO.png
2、3号资料夹换一只强一点的病毒 Cerber 来试试看,3号资料夹阵亡,2号资料夹依然没事。
http://i.imgur.com/shE9eLQ.png
虽然2号存活了下来,不过它最大的问题并不在于勒索病毒攻击,而是根本性的不方便。例如若尝试把档案放进去2号资料夹,会出现下图,要放东西就得把禁写勾勾取消掉。因此唯有在万年不去存放档案,只用来读取的资料夹上才会建议这样用,不然谁受得了。
http://i.imgur.com/LRyrUYT.png
作者: l98 (寻找属于我的星星)   2016-06-06 16:29:00
有试验有推
作者: s1s1 (胖鸟)   2016-06-06 16:30:00
有实验有推,看来很适合用在多年累积的照片档、音乐档之类的
作者: vul354 (Vanter)   2016-06-06 16:33:00
有实验给推,感谢分享结果
作者: lisbonbon (冲吧早稻田)   2016-06-06 16:40:00
推一个,反正影音档都这样设定就好
作者: Kuansun (食用红色六号)   2016-06-06 16:45:00
作者: ptt1234567 (RC)   2016-06-06 16:49:00
有测有推, 辛苦了
作者: jacklin2002   2016-06-06 17:05:00
请问中毒电脑工作管理员完全没有异状吗?我是属于那种工作管理员有几只程式在执行都一清二楚的人,所以想知道,完全无法从程序或服务这些东西看出端倪吗?(还是中毒的人根本就不看这些)
作者: yoyo80725 (yoyo)   2016-06-06 17:12:00
有的会伪装吧而且没这么常看 通常看到发现也差不多死了
作者: brianuser (产业废弃物)   2016-06-06 17:13:00
又不可能随时都在监看,何况有些是利用系统程式在作怪多一两个 svchost explorer rundll32 很难及时注意到
作者: jacklin2002   2016-06-06 17:16:00
以我例子,svchost就是固定11只,电脑在刚启动好状态
作者: mars1985 (╰|∵|╯)   2016-06-06 17:17:00
哈哈哈。
作者: jacklin2002   2016-06-06 17:17:00
程序就是54,不多不少刚刚好,我只是在想,觉得奇怪的时候就看一下,发现异状就强制程序执行终止,也许是可以降低灾害的措施?
作者: weichen5566 (奕尘)   2016-06-06 17:26:00
设定权限当然可以防止,但是一般电脑设定权限不方便
作者: blackwindy (黑色的风)   2016-06-06 17:27:00
谁没事会盯着程序看阿...而且直接拔电源线快多了
作者: weichen5566 (奕尘)   2016-06-06 17:28:00
可以装一台NAS,每次备份就是要登入才能传也安全
作者: bluewinston (风)   2016-06-06 17:29:00
svchost 别乱关 有些系统会调用 来说说我看过旧版加密中毒过程 恐怖在出现不到一秒就隐藏本身进程 执行中cpu使用率完全正常不会飘高 完全不会发觉 非常阴险 现在大家电脑都很好还ssd 只能多加备份 唯一解
作者: jacklin2002   2016-06-06 17:30:00
不用一直盯着看啊...觉得奇怪就Ctrl+Alt+Del一下很难吗...?
作者: HELLDIVER (Ζzz...)   2016-06-06 17:30:00
硬盘现在也不贵 做个系统完整备份不花太多钱的
作者: jacklin2002   2016-06-06 17:56:00
查过资料了,工作管理员内的程序不能被隐藏的,最多就是改名而已,所以平常多关心自己电脑,有没有多出什么奇怪的执行程序吧。
作者: tsukiyo99 (OωO)   2016-06-06 17:59:00
jacklin大大 你知道被加密的时候工作管理员和cmd都开不起来吗XD
作者: jacklin2002   2016-06-06 18:00:00
我就是没中所以我才问啊...囧> 要不然我超想实验看看
作者: yoyo80725 (yoyo)   2016-06-06 18:00:00
就像我讲的...当你觉得奇怪的时候你已经死了
作者: aglet (Aglet)   2016-06-06 18:02:00
那SYSTEM的权限需要修改吗
作者: blackwindy (黑色的风)   2016-06-06 18:07:00
当你觉得奇怪的时候应该是直接关机而不是在那边找吧现在名子都是用常见的 例如svchost or explorer另外工作管理员内的程序还是可以隐藏的 你资料是哪来?
作者: bluewinston (风)   2016-06-06 18:13:00
之前看到影片的 只出现不到一秒就隐身了排列是 使用率 真的就不见了也没伪装
作者: jacklin2002   2016-06-06 18:18:00
可以用工作管理员或cmd下指令显示所有处理程序,所以
作者: abramtw (世界原来是如此耀眼啊)   2016-06-06 18:19:00
平时2号设定 要放档案才解除 放完再2号怎样呢?
作者: jacklin2002   2016-06-06 18:19:00
隐藏没有用,所以tsukiyo99说的应该就是了,直接封锁不让你开启指令集,更狠....
作者: tsukiyo99 (OωO)   2016-06-06 18:23:00
加密软件的CPU使用效能不会很高 而是disk高 因为都在IO
作者: yoyo80725 (yoyo)   2016-06-06 18:28:00
看到硬盘灯疯狂闪就差不多是了
作者: bluewinston (风)   2016-06-06 18:31:00
他是测试 加密前就开了 管理 点病毒执行我也不相信啊 因为我也会监看管理员的
作者: kenick (SOLID_SNAKE)   2016-06-06 18:40:00
推lmk大实验
作者: GAMETYRANT ( 深水无痕 )   2016-06-06 18:42:00
感谢lmk大的详细试验,看来单纯的唯读果然还是不够...
作者: mayuyu ((・ω・)ノ)   2016-06-06 19:07:00
可以隐藏自身进程 只要hook枚举进程的api然后移除想要隐藏的进程就可以了 工作管理员看不到的还有一些木马会利用远程注入的方法把要执行的代码放进其他系统程序里面去执行注入以后就可以把自己的进程给杀掉了 出现闪一下就不见了有些是写成dll让系统在启动时加载 不会看到处理程序有些是替换掉系统正常的服务 从服务列表也看不出来有些是直接装到内核级的驱动 随便它想要怎么修改显示给用户层看的结果就怎么修改 一般程式根本看不到它的存在 除非你也使用内核级的检测工具而且加载的优先权还要高于木马的rootkit请问l大,如果创建一个新的系统管理员帐户,将目前的帐户转为一般使用者,然后限制这个使用者的访问权限(也就是你推荐的方法一),这样可以挡住这二个病毒吗?如果可以,用你的方法一在使用上应该比较方便
作者: abcccbbs (保险经纪人业务副理)   2016-06-06 20:23:00
-------------楼下使用方法2设定D槽影片中-------------
作者: srewq (南瓜)   2016-06-06 21:17:00
哈 我的确是在用方法2设定D槽中 一些几年来拍的照片跟影片毕竟久久才会去新增更动一次 不碍事
作者: GAMETYRANT ( 深水无痕 )   2016-06-06 22:14:00
改资料夹权限应该是目前最轻松的防堵方式了不过当用户已受感染且不知情(不知病毒已作动)前提下虽然透过资料夹权限,可以挡死病毒的侵害行为但未来新增档案,打开资料夹权限时,仍有风险再被加密因无法得知病毒母体是否已自杀,或已停止继续加密因此建议在该磁盘或它磁盘根目录下放几张不重要的图片当诱饵,作为判别电脑是否受感染的暂时判断法..
作者: mathrew (Joey)   2016-06-06 22:26:00
个人认为,把平常没在用的重要档案 例如多年来的照片你平时不会去看嘛,直接丢在一颗硬盘,然后把那颗硬盘设定离线,真的有需要用时,再设定回连线改权限目前可以挡,但是哪天骇客来个漏洞修改权限+勒索就..............
作者: HELLDIVER (Ζzz...)   2016-06-06 22:31:00
现在随身碟都有64G甚至更高了 内接硬盘也才2K这么大费周章 还不如干脆另外备份比较快
作者: abram (科科)   2016-06-06 22:32:00
BIOS里把某硬盘disable 这样怎么修改权限都不可能伤害到了连硬盘都不可能被抓到了...
作者: vobor (蓝色大象)   2016-06-06 23:15:00
我觉得离线这招更有效耶,不过病毒可以侦测离线硬盘并且把他修改回连线然后开始加密吗?
作者: abram (科科)   2016-06-06 23:17:00
BIOS离线就不可能 非BIOS的离线也很难 除非UAC完全关闭
作者: mayuyu ((・ω・)ノ)   2016-06-07 00:20:00
也就是说方法一都有效对不对? 如果都有效,方法一好像比较方便
作者: vobor (蓝色大象)   2016-06-07 01:10:00
方法ㄧ不就是最快被破解的那个吗..了解l大我还想到一个方法,如果让资料碟在没有使用的时候离线,并且把UAC层级拉到最高,这样资料碟的资料应该就可以免受威胁了吧?因为开启磁盘管理会触发最严格的UAC,当然别去按是就好了是说这类的病毒会去侦测离线的硬盘并且让他恢复连线吗?
作者: louis925 (稚空)   2016-06-07 05:50:00
感觉应该要设计一个特大号的硬盘读写灯放在桌上只要有大量读写,灯狂闪的时候,就注意一下

Links booklink

Contact Us: admin [ a t ] ucptt.com