https://www.facebook.com/permalink.php?story_fbid=10209224702953961&id=1212795524
https://goo.gl/tkjJGX
根据大陆人的反解译后归纳出一些特性
http://www.freebuf.com/articles/system/134578.html
根据文件的描述
勒索病毒会终止5种常见SQL service执行绪
mysqld.exe
sqlwriter.exe
sqlserver.exe
MSExchange
以及避开 几个常见的系统路径
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
这几个动作相当合逻辑
因为要避免让系统直接垮掉 以致无法付赎金
因此 产生了关键防护特征
1. 在重要目录上 附加上述路径 伪装成系统目录
2. 创建同名虚假执行绪 并加以监听 只要发现执行绪失效 马上警示 并进行关机
这个概念类似1.bmp
在防护效果上
1 有可能可以透过病毒升级修改规则而防护失效
但是攻击者就必须想出其他方法避开攻击系统目录
而2 就比较难取舍 服务名称无法变动 除非攻击者愿意放弃攻击SQL
1是普通人都可以做到的基本保护
2需要一点程式技巧 虽说不难 但也要花时间写程式

第一个是把重要资料直接丢入那几个系统资料夹里面吗?还是说我创个D:\windows 病毒就不会攻击这资料夹?如果是这样的话就表示病毒不看硬盘代号?

是的 就"目前"来看 只看目录 不看磁盘对了 大小写是敏感的 要一字不差

上图只是针对"这次"病毒的做法 这是对所有勒索都有效

135埠也要！?

我C碟底下的windows是小写捏 这样被攻击就爆炸?

push

推。顺便请问个问题，如果我把D槽设成"我的文件"，同时挂载在"Program Files"底下的空资料夹，就病毒执行的逻辑上会怎么判定呢？

不会的人还是别乱改 等等系统出错无法开机

推

病毒应该是用环境变量，创个假的D:\windows应该没用