※ [本文转录自 AntiVirus 看板 #1P6A0C8J ]
作者: JeremyJoung (J.J.) 看板: AntiVirus
标题: [心得] 勒索病毒的行为特征 以及自保方法
时间: Mon May 15 02:20:57 2017
https://www.facebook.com/permalink.php?story_fbid=10209224702953961&id=1212795524
https://goo.gl/tkjJGX
根据大陆人的反解译后归纳出一些特性
http://www.freebuf.com/articles/system/134578.html
根据文件的描述
勒索病毒会终止5种常见SQL service执行绪
mysqld.exe
sqlwriter.exe
sqlserver.exe
MSExchange
以及避开 几个常见的系统路径
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
这几个动作相当合逻辑
因为要避免让系统直接垮掉 以致无法付赎金
因此 产生了关键防护特征
1. 在重要目录上 附加上述路径 伪装成系统目录
2. 创建同名虚假执行绪 并加以监听 只要发现执行绪失效 马上警示 并进行关机
这个概念类似1.bmp
在防护效果上
1 有可能可以透过病毒升级修改规则而防护失效
但是攻击者就必须想出其他方法避开攻击系统目录
而2 就比较难取舍 服务名称无法变动 除非攻击者愿意放弃攻击SQL
1是普通人都可以做到的基本保护
2需要一点程式技巧 虽说不难 但也要花时间写程式