[情报] [自制] 讯驰-勒索病毒防护程式 VER:1.0
楼主: chinoyan 2016-06-16 08:49:50
==================讯驰-勒索病毒防护==================
本程式主要原理为在 [所有目录] 中建立一个或多个监控档案
并在开机时自动执行档案系统监控,如发现被监控的档案遭到更名/
修改或类似勒索病毒的加密行为,则采取立即断电(最快速的关机方
式),以减少勒索病毒所造成的破坏和损失,并在下次开机时阻挡
Windows进入桌面,并显示档案异动记录,使用者仍可以选择关机或
忽略异常进入桌面。
注1:
W7以下才能阻挡WINDOWS进入桌面
W7以上则仍会进桌面,但30秒未确认,会再度关机)
注1:
本程式只能在被加密时,自动关机以减少损失
无法保证可以完全阻挡勒索病毒!"
(多重异地备份才能保证将勒索病毒的危害降到最低)
Google Drive 下载点:
https://drive.google.com/open?id=0B4StWZd4C561NTBndVlOMTJZXzQ
==============================================================
BUG回报或改版建议请至:
http://fb.me/CentrinoPC
讯驰电脑FB
测试心得:
使用Cryp1样本测试 , 大部份皆在加密到约50-300个档案时,电脑就关机了
CRYP1的加密速度实在有够快,记录档显示:当加密开始时,程式就有侦测到
并执行关机指令,但从执行关机-关机完成这3-10秒,CRYP1仍可以加密上百张照片
希望可以减少大家的损失,可以的话,帮小店的FB按个赞喔~
本程式主要原理为在 [所有目录] 中建立一个或多个监控档案
并在开机时自动执行档案系统监控,如发现被监控的档案遭到更名/
修改或类似勒索病毒的加密行为,则采取立即断电(最快速的关机方
式),以减少勒索病毒所造成的破坏和损失,并在下次开机时阻挡
Windows进入桌面,并显示档案异动记录,使用者仍可以选择关机或
忽略异常进入桌面。
注1:
W7以下才能阻挡WINDOWS进入桌面
W7以上则仍会进桌面,但30秒未确认,会再度关机)
注1:
本程式只能在被加密时,自动关机以减少损失
无法保证可以完全阻挡勒索病毒!"
(多重异地备份才能保证将勒索病毒的危害降到最低)
Google Drive 下载点:
https://drive.google.com/open?id=0B4StWZd4C561NTBndVlOMTJZXzQ
==============================================================
BUG回报或改版建议请至:
http://fb.me/CentrinoPC
讯驰电脑FB
测试心得:
使用Cryp1样本测试 , 大部份皆在加密到约50-300个档案时,电脑就关机了
CRYP1的加密速度实在有够快,记录档显示:当加密开始时,程式就有侦测到
并执行关机指令,但从执行关机-关机完成这3-10秒,CRYP1仍可以加密上百张照片
希望可以减少大家的损失,可以的话,帮小店的FB按个赞喔~
作者: b24333666 (比飞笨) 2016-06-16 09:48:00
推
作者: andy90498 (枫情) 2016-06-16 11:04:00
推
作者: swpoker (swpoker) 2016-06-16 11:14:00
可以使用 suspend 所有 rundll32吗?
作者: skill1095 (skill1095) 2016-06-16 11:56:00
推
作者: nomo2377 (明年才打牌) 2016-06-16 12:57:00
推
作者: powerfull (拖鞋) 2016-06-16 13:13:00
推
楼主: chinoyan 2016-06-16 14:49:00
SUSPEND当然可以,问题是变种的未必是用RUNDLL32来跑
作者: Everless (ミカ) 2016-06-16 15:45:00
推
作者: wsdykssj (arj) 2016-06-16 22:27:00
推 好奇用传统硬盘的话频繁读取大量小档会不会加速耗损?
楼主: chinoyan 2016-06-16 23:30:00
不会,是监视,档案有变动才读取资料
作者: KNVSEOC (佛利沙的"SA") 2016-06-17 02:35:00
我刚把沙盘内容删了,就立刻关机了XD可能我昨天没删沙盘内容,跑到里面建监控档了
楼主: chinoyan 2016-06-17 11:14:00
楼上,关机后再开,会显关机原因的,你可以看一下
作者: KNVSEOC (佛利沙的"SA") 2016-06-17 12:31:00
有啊!就是显示沙盒里面的资料夹
楼主: chinoyan 2016-06-17 20:22:00
沙盘设定一下,让程式跑在真实模式
作者: ynfxqh (藤原先生) 2016-06-18 00:52:00
推!!!
作者: tzuchun0214 (沙发马铃薯) 2016-06-18 06:02:00
推!谢谢!
作者: fish0112 (鱼) 2016-06-18 14:16:00
沙盘设定程式跑在真实模式是什么 有教学吗?我只知道用沙盒开chrome开软件之类的第一次听到真实模式
作者: lynked (左手不只是辅助而已) 2016-06-18 15:52:00
也许可以考虑让使用者设定例外而不是所有目录都监控
作者: wsdykssj (arj) 2016-06-18 18:44:00
所以用了之后使用者就不能删除任一个资料夹,删了立刻关机?
楼主: chinoyan 2016-06-19 13:44:00
楼上,不会喔,删除有另外判断法在同一目录,"同时" 删除监控档+建立档案才会回FISH0112,我的意思是,不要用沙盒开本程式
作者: atrix (班班) 2016-06-20 01:38:00
请问在xp的测试情况跟win7除开机外,有其它差异吗?(我这很多人用xp)
楼主: chinoyan 2016-06-20 04:49:00
XP和WIN7都可以挡住系统进桌面喔
作者: atrix (班班) 2016-06-20 09:07:00
感谢ch大
作者: relio (瑞哩欧) 2016-06-21 02:35:00
推
作者: cbate (自由是用钱买不到的) 2016-06-21 05:00:00
" target="_blank" rel="nofollow">