Re: [心得] 勒索軟體隱藏磁碟機代號測試
※ 引述《qxxrbull (白貓Project)》之銘言:
: 如題
: 之前我打了一篇#1MM50tcZ (AntiVirus)
: "隱藏磁碟機代號是否能夠避免勒索軟體"
: 這一次找來了許多樣本
: 包括torrentlocker(crypt0l0cker) CTB-locker
: cryptowall3.0(4.0樣本有人有嗎 我找不到) cryptoholder(這好像比較少見)
: 這一些樣本 來進行測試
: 這一次被測試的內容有doc docx xlsx jpg cpp wmv exe這一些
: 不過自己寫的EXE似乎不會 或許是檔案太小
執行檔如果也被加密,有可能會造成系統無法開機
使用者就看不到被勒索的訊息,就沒有經濟來源啦~
所以我不認為.exe 檔會被當作加密標的
: 結論
: 這招目前看起來還是有效的
: 不過不確定在日後變種還會不會有效
: 最好的方法就是用其他硬碟備份 之後拔出來
: 有幾個好處
: 一就是這樣絕對不會被加密勒索
: 二就是如果你電腦的電源供應器出問題 把所有硬碟打壞 這樣就能避免了
: 話說有人可以提供給我 cryptowall4.0的樣本嗎
: 想要玩看看
其實這招我之前有想過,也測試過,的確有用(馬後砲? XD )
我之前的筆記的結論是這樣
1.使用者的重要資料,必須要存在固定的磁碟
如果你的資料都放在外接硬碟,那這招對你有幫助
但是如果資料散佈在各個地方(我相信大部分使用者都如此)
那就沒啥太大幫助
2.隱藏磁碟的作法稍嫌複雜
這點其實還好,網路上有文章可以參考
把要隱藏的磁區用registry修改然後匯出隱藏、顯示兩個registry檔
當要複製、讀取資料的時候,就匯入顯示的機碼
要隱藏的時候,再匯入隱藏的機碼
請參考 http://www.pctools.com/guides/registry/detail/148/
還有其他方式,像是編輯一個批次檔,去叫diskpart把磁碟代號remove掉
請參考 http://goo.gl/EPGrqD
3.最重要的一點是使用者習慣的改變
因為我是站在公司資訊環境的角度看這個作法帶來的衝擊和效益
想要求使用者在存取資料前,先去點兩下桌面的圖示顯示
然後用完了,再去點兩下隱藏起來
光提這個作法,我就可以想像在會議上會怎麼被公幹...
anyway
小結一下
如果你需要保存的資料,都是放在同一個磁區
而且你看了上面兩篇參考網址的文章,覺得照著操作不困難
也能接受使用習慣的改變,那麼,這個作法對你就有幫助!
--
→
08/15 01:38,
08/15 01:38
→
08/15 01:53,
08/15 01:53
→
08/15 02:28,
08/15 02:28
→
08/15 02:28,
08/15 02:28
→
08/15 02:31,
08/15 02:31
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 153.92.46.70
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1448935872.A.AB1.html
推
12/02 13:55, , 1F
12/02 13:55, 1F
→
12/02 13:56, , 2F
12/02 13:56, 2F
→
12/02 13:56, , 3F
12/02 13:56, 3F
→
12/02 13:56, , 4F
12/02 13:56, 4F
推
12/03 10:01, , 5F
12/03 10:01, 5F
推
12/04 00:13, , 6F
12/04 00:13, 6F
→
12/04 10:18, , 7F
12/04 10:18, 7F
推
12/04 14:11, , 8F
12/04 14:11, 8F
→
12/05 02:42, , 9F
12/05 02:42, 9F
→
12/05 14:07, , 10F
12/05 14:07, 10F
推
12/10 06:53, , 11F
12/10 06:53, 11F
→
12/10 06:54, , 12F
12/10 06:54, 12F
推
12/10 08:40, , 13F
12/10 08:40, 13F
討論串 (同標題文章)