[公告] 文章回溯 Re:[讨论] 中勒索病毒真的没救…

楼主: skycat2216 (skycat2216)   2020-05-06 22:35:24
※ 引述《s11924 (陷阱金属小妹)》之铭言:
: 小妹资安的报告主题是勒索病毒啦 所以最近在大量的找资料
: 版上看了一轮 很多推文都直接说没救了 但有些说要先拔网络线 为什么阿?
: 就我目前的认知 勒索病毒有几种方法 1.直接加密你的档案
这次加密后的档案查看建立时间与原档案一样,
修改时间则是变成.lck当下的时间
所以救援软件可能没办法解决
: 2. 先删除你的档案 在做一个假的加密档
: 3. 直接把妳的档案抓到他的硬盘 再删光
: 当然还有分加密型和非加密型啦
: 那这真的是无解的 只能预防? 网络上的破解软件 是不是其实都是用暴力解密?
这次加密的确采RSA2048,
每个磁盘完成加密后会丢下一个txt的联络Email与RSA2048的加密内容,
而不是像之前会出现一只小程式开启小视窗;
从早期钓鱼信件单纯感染该台电脑硬盘、网络磁盘、外接硬盘,
后来从网络随机乱打鸟方式攻Windows SMB漏洞,
到现在硬件接触式(任何USB媒介)或钓鱼后伪装等取得权限,
再透过群组原则或工作排程等方式进行统一时间发作,
只要有用网域的单位,就得小心,
同时也挑战防毒的抵挡能力,
以趋势Officescan来讲,病毒码15.849之后版本才能侦测到;
拔网络线的确就是避免扩大、断NAS,
关机的话加密到一半,没有完成整个磁盘槽加密不会产生谈判的txt档案;
最后来讲这次加密仍然躲过的档案类型,
例如.dll、.msi这种都没事,
所以如果硬盘空间够大,
可以考虑手动将重要的资料弄成压缩档,把副档名改成以上档案类型;
如果有用NAS,可以考虑改\\方式连线,
不要挂网络磁盘机;
NAS本身有些提供整机备份、异机还原的功能也建议定期去备份。
推 s11924: 改副档名有用吗? 病毒会查标头吧
→ KyA: 这次是攻副档名 D槽内有.dll逃过一劫
推 pipishan: @Kya 你是说这次中油的这只改dll有闪过吗?
→ dennisxkimo: 微软内建防毒功能 Controlled folder access
推 tswu8: NAS上能限制使用者采//连线吗?
作者: sakasiaga (障碍)   2020-05-07 08:12:00
溯ㄙㄨˋ
作者: KyA   2020-05-07 13:11:00
https://blog.trendmicro.com.tw/?p=64227 趋势完整报导有独特的判断路径与副档名,让系统可以正常开机运作上网
作者: tswu8 (tswu8)   2020-05-07 17:05:00
关键的DLL档名没写出来
作者: snowbox   2020-05-09 13:37:00
资源回收桶的资料没被加密XD
作者: koheik2 (ko)   2020-05-12 21:16:00
那自创档名不是更安全 .1234这样
作者: israelii (chris)   2020-05-17 03:41:00
为什么这篇是公告
楼主: skycat2216 (skycat2216)   2020-05-18 07:15:00
毕竟这篇是公告回档和回档内容的,不过要回文还是不能用公告分类就是了
作者: KyA   2020-05-18 15:04:00
不建议自设档案格式,条件改变可以让系统重要档案以外全上锁

Links booklink

Contact Us: admin [ a t ] ucptt.com