※ 引述《s11924 (陷阱金属小妹)》之铭言:
: 小妹资安的报告主题是勒索病毒啦 所以最近在大量的找资料
: 版上看了一轮 很多推文都直接说没救了 但有些说要先拔网络线 为什么阿?
: 就我目前的认知 勒索病毒有几种方法 1.直接加密你的档案
这次加密后的档案查看建立时间与原档案一样,
修改时间则是变成.lck当下的时间
所以救援软件可能没办法解决
: 2. 先删除你的档案 在做一个假的加密档
: 3. 直接把妳的档案抓到他的硬盘 再删光
: 当然还有分加密型和非加密型啦
: 那这真的是无解的 只能预防? 网络上的破解软件 是不是其实都是用暴力解密?
这次加密的确采RSA2048,
每个磁盘完成加密后会丢下一个txt的联络Email与RSA2048的加密内容,
而不是像之前会出现一只小程式开启小视窗;
从早期钓鱼信件单纯感染该台电脑硬盘、网络磁盘、外接硬盘,
后来从网络随机乱打鸟方式攻Windows SMB漏洞,
到现在硬件接触式(任何USB媒介)或钓鱼后伪装等取得权限,
再透过群组原则或工作排程等方式进行统一时间发作,
只要有用网域的单位,就得小心,
同时也挑战防毒的抵挡能力,
以趋势Officescan来讲,病毒码15.849之后版本才能侦测到;
拔网络线的确就是避免扩大、断NAS,
关机的话加密到一半,没有完成整个磁盘槽加密不会产生谈判的txt档案;
最后来讲这次加密仍然躲过的档案类型,
例如.dll、.msi这种都没事,
所以如果硬盘空间够大,
可以考虑手动将重要的资料弄成压缩档,把副档名改成以上档案类型;
如果有用NAS,可以考虑改\\方式连线,
不要挂网络磁盘机;
NAS本身有些提供整机备份、异机还原的功能也建议定期去备份。
推 s11924: 改副档名有用吗? 病毒会查标头吧
→ KyA: 这次是攻副档名 D槽内有.dll逃过一劫
推 pipishan: @Kya 你是说这次中油的这只改dll有闪过吗?
→ dennisxkimo: 微软内建防毒功能 Controlled folder access
推 tswu8: NAS上能限制使用者采//连线吗?