[心得] 关于Ransomware绑架软件的小小实验 pendoth PTT批踢踢实业坊

[心得] 关于Ransomware绑架软件的小小实验

楼主: pendoth (46825) 2016-06-07 00:34:28

一开始先跟大家提到一个在XP时代有名的随身碟病毒KAVO，
当时让随身碟免疫的方法就是在随身碟根目录下建立autorun.inf目录，
然候应该很多人还有印象，再下一层有一个无法读取及删除的目录123.
为什么要提到这个，因为不论是使用者帐号限制也好，档案设唯读权限也好，
都是让绑架软件无法覆写档案的方式来保护，
而在这个123.的资料夹下的档案，有点不一样，
于是就有了这次的实验。
注：要跟着下面实作的人，一点基础需要。
***重要*** 第一步需在XP或XPE的环境下于C或D槽直接建立123.的资料夹
http://i.imgur.com/MjyNtVK.png
C:\>mkdir 123..\
资料夹名称有限制必须6个半型字符以下，
http://i.imgur.com/tccQuLM.png
于是就得到看起来名称为123.的资料夹。
http://i.imgur.com/ks8LlNn.png
无论在XP或WIN7以上环境直接双击左键开启都会有同样的提示，
并且无法直接读取及删除。
http://i.imgur.com/9l3Pfrv.png
http://i.imgur.com/0cOPmb8.png
本篇重点：
再来这个应该就很少人知道了！这个资料夹并非完全无法存取！
它其实如同一般资料夹可读取可覆写，
只是！！！无法使用一般路径来作读写的动作！！！！
前面提到限制6个半型字符就是因为在这边要用短档名的方式去开启，
超过6个半型字符好像就无法正常开启了。
因为方便，这里我使用写入记事本存.bat的方式用于直接双击执行开启，
命令也可以直接输入
C:\>start C:\123~1
便可发现此资料夹被开启了。
题外一下，这指令是在WIN7后才适用的，
在XP下我记得直接在路径栏打上C:\123..就进去了，
升到WIN7时打不开差点崩溃，好久才在不知哪的外国论坛看到这个方法，
一直到现在WIN10依然可用，当时我觉的这真的是超适合拿来装秘密，
内建搜寻不到，everything之类的搜寻软件虽然看的到但不能摸，
不过现在不需要了就是...
实作的教学也就到这了，其实也不是很难，下面就看一些测试吧。
首先在一般资料夹和123.各放入相同及不同的档案资料，
http://i.imgur.com/OafRFu6.png
1.作者良心发现的Crypt0L0cker
http://i.imgur.com/yVlD4A7.png
执行直到跳出讯息，就可以看到差别了，执行途中两个资料夹仍然是开着的。
就可以知道在这个短档名路径下，绑架软件无作用。
http://i.imgur.com/xgtKhdq.png
2.Cerber
http://i.imgur.com/TdR0YFh.png
一样执行直到跳出讯息。
超凶连档名也覆写了，有趣的是会听到播放声音：
attention!
attention!
attention!
your documents photos databases and other important files have been encrypted.
然候重复十遍左右吧....
http://i.imgur.com/8THnX7N.png
3.最后大概会是本月 MVP CryptXXX3.0
试着换到WIN10看看。
http://i.imgur.com/LioJsRl.png
完美加密。除了123.资料夹
http://i.imgur.com/JhOLuFj.png
看最新的应该是.crypz，但我看了几个样本网站好像还没有，
有善心人士抓给我玩我会很开心的。
最后就提醒一下，
保护档案最好的方式还是离线备份，
上面的方法也不保证对以后绑架软件有用，
因为这方法目前看起来似乎还有可用性，
所以就提供给各位了。
大概这样。

作者: s79072002 (朱弟) 2016-06-07 00:58:00

我该庆祝，我中的是良心发现的勒索病毒吗...?资料救回80%

作者: frank1033 (路人甲) 2016-06-07 01:02:00

酷喔~~ 感谢测试

作者: pyc888 (PYC) 2016-06-07 01:10:00

以前玩 FxP 常常用ASCII建资料夹偷塞东西。没想到可以挡现在的勒索病毒啊

作者: lmkkml (小羊~~~) 2016-06-07 01:14:00

推！有点猛耶

作者: srewq (南瓜) 2016-06-07 01:32:00

推!!

作者: GAMETYRANT (　深水无痕　) 2016-06-07 01:46:00

推！很有趣且认真的测试~旧时代对付KAVO的手段，竟也成为CRYP的克星之一 :P

作者: andy90498 (枫情) 2016-06-07 06:04:00

推...

作者: MoJi (æˆ°ç¥ž) 2016-06-07 06:04:00

所以是把资料放在123.资料夹就可抵挡目前的勒索毒吗？用普通右键重新命名的方式？

作者: andy90498 (枫情) 2016-06-07 06:21:00

请问一下刚刚用WIN7测试了一下发现确实该123.资料夹确实无法删除、更名但能直接左键开启?之后我尝试把档案丢进去该资料夹发现可更名、删除但无法开启是因为我不是在XP系统建立该资料夹的关系吗?CMD 没办法CD进123. 以及没办法START该资料夹里的档案

作者: go1717 (go一起一起当神) 2016-06-07 08:07:00

那用Unlocker可以删除吗？

作者: Bellkna (柔弱气质伪少女) 2016-06-07 08:09:00

把分割区挂戴在该目录下的目录不知道效果如何还可以省掉搬东西的麻烦

作者: andy90498 (枫情) 2016-06-07 08:17:00

回go1717 使用unlock也无法删除喔

作者: Bellkna (柔弱气质伪少女) 2016-06-07 08:24:00

7-zip和filezilla 理论上应该就能直接建这种目录

作者: wackyjazz (欧噜噜) 2016-06-07 08:56:00

感觉专业推~~~

作者: swpoker (swpoker) 2016-06-07 09:46:00

win7(64) 都能用档案总管开启阿

作者: go1717 (go一起一起当神) 2016-06-07 09:51:00

但打"rmdir 123..\"该目录就会被砍@@

作者: jan06010504 (3RD) 2016-06-07 10:00:00

如果用档案总管可以开，那这方法是不是就无效了?

作者: chang0206 (Eric Chang) 2016-06-07 10:23:00

楼上原PO不就都实验过了吗？

作者: jsbach813 2016-06-07 11:46:00

为什么我只能做"123.." 没办法做"123." ?跪求

作者: jan06010504 (3RD) 2016-06-07 11:47:00

sor，问得不够准确，是想问楼上a大有说可直接左键开启，这样还有防御效果吗？

作者: jacklin2002 2016-06-07 12:51:00

原po说了，要在XP或XPE的环境下才能建立.....

作者: jan06010504 (3RD) 2016-06-07 12:56:00

好的，感谢

作者: go1717 (go一起一起当神) 2016-06-07 13:00:00

win10也可以建立问题是用指令建立的资料夹也能用指令砍掉@@

作者: louis925 (稚空) 2016-06-08 04:23:00

我在 Win 7 下建立 123..\ ，会自动产生123和123..两个资料夹耶，内部档案都可以正常开启关闭但是档案总管只能删掉123，123..必须透过rmdir删除

作者: chang0206 (Eric Chang) 2016-06-08 13:44:00

呃，可以请问一下 VHD 档案也会被这个加密吗？

请问有XP以外作业系统的做法吗？还是一定要找一台XP自己建一个这样的资料夹？

继续阅读

Re: [问题] 档案改唯读，是否可破勒索病毒行为？chinoyan Re: [讨论] 勒索病毒的入侵讨论lmkkml [求救] 默认程式更改，电脑档案全变一样!中毒？thekinginsid [讨论] 勒索病毒的入侵讨论squareneo [问题] 电脑中了cryp1jennychen825 [问题] 为什么没屋顶的卡巴特别便宜?pp771017 [问题] 请问勒索病毒和NAS资料的问题ukyo1024 Re: [问题] crypz是最新型的病毒吗?lisbonbon Re: [问题] 档案改唯读，是否可破勒索病毒行为？lmkkml [讨论] 听说这个网站的教学能解crypkurl1009