Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?

看板AntiVirus作者 (小羊~~~)時間9年前 (2016/06/06 16:27), 9年前編輯推噓29(29079)
留言108則, 27人參與, 最新討論串2/5 (看更多)
※ 引述《GAMETYRANT ( 深水無痕 )》之銘言: : 好多年沒逛防毒版,過去靠著瘋狂等級的 comodo 護持 : 即使沒裝任何防毒程式,電腦這樣裸奔了多年也沒中過毒 : 但這波勒索病毒的災情確實怵目驚心 : 尤其這波病毒,專挑文件檔、多媒體檔這類容易被 HIPS 忽略的檔案下手 : 假設說,將特定磁碟機、特定資料夾、或特定檔案,改成唯讀狀態 : 不知有無辦法對抗這勒索病毒的背景加密行為? : ( 許多多媒體檔案,終其一生不會進行編輯,改成唯讀似乎有利無弊 ) 直接拿病毒來做實驗(先說一下這是在系統管理員帳戶底下測試的),創三個文件夾1~3,1號是勾選唯讀(這個唯讀是僅套用資料夾中的檔案)、2號是把 administrators 的寫入權限封死,勾選禁止寫入、3號是把自己的管理員帳戶只保留唯讀。分別是下面三張圖: http://i.imgur.com/XAbX5HN.png
http://i.imgur.com/223Rmcp.png
http://i.imgur.com/NXdFqGw.png
執行病毒 UltraCrypter(.cryp1)後,1號資料夾陣亡如下圖,2、3號資料夾沒事。 http://i.imgur.com/72eTrhO.png
2、3號資料夾換一隻強一點的病毒 Cerber 來試試看,3號資料夾陣亡,2號資料夾依然沒事。 http://i.imgur.com/shE9eLQ.png
雖然2號存活了下來,不過它最大的問題並不在於勒索病毒攻擊,而是根本性的不方便。例如若嘗試把檔案放進去2號資料夾,會出現下圖,要放東西就得把禁寫勾勾取消掉。因此唯有在萬年不去存放檔案,只用來讀取的資料夾上才會建議這樣用,不然誰受得了。 http://i.imgur.com/LRyrUYT.png
-- Sent from my Windows -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.27.117 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465201648.A.3A3.html
06/06 16:29, , 1F
有試驗有推
06/06 16:29, 1F
06/06 16:30, , 2F
有實驗有推,看來很適合用在多年累積的照片檔、音樂檔之類的
06/06 16:30, 2F
06/06 16:33, , 3F
有實驗給推,感謝分享結果
06/06 16:33, 3F
06/06 16:40, , 4F
推一個,反正影音檔都這樣設定就好
06/06 16:40, 4F
06/06 16:45, , 5F
06/06 16:45, 5F
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 16:49:47
06/06 16:49, , 6F
有測有推, 辛苦了
06/06 16:49, 6F
06/06 17:05, , 7F
請問中毒電腦工作管理員完全沒有異狀嗎?
06/06 17:05, 7F
06/06 17:05, , 8F
我是屬於那種工作管理員有幾隻程式在執行都一清二楚
06/06 17:05, 8F
06/06 17:06, , 9F
的人,所以想知道,完全無法從程序或服務這些東西看
06/06 17:06, 9F
06/06 17:06, , 10F
出端倪嗎?(還是中毒的人根本就不看這些)
06/06 17:06, 10F
當然有病毒在跑囉,不過中毒時要剛好開著工作管理員我想有難度吧。這些病毒最有感的 時候就是硬碟燈在猛閃的時候了,這時候發現中毒我覺得也加密的差不多了。
06/06 17:12, , 11F
有的會偽裝吧
06/06 17:12, 11F
06/06 17:13, , 12F
而且沒這麼常看 通常看到發現也差不多死了
06/06 17:13, 12F
06/06 17:13, , 13F
又不可能隨時都在監看,何況有些是利用系統程式在作怪
06/06 17:13, 13F
06/06 17:14, , 14F
多一兩個 svchost explorer rundll32 很難及時注意到
06/06 17:14, 14F
06/06 17:16, , 15F
以我例子,svchost就是固定11隻,電腦在剛啟動好狀態
06/06 17:16, 15F
06/06 17:17, , 16F
哈哈哈。
06/06 17:17, 16F
06/06 17:17, , 17F
程序就是54,不多不少剛剛好,我只是在想,覺得奇怪
06/06 17:17, 17F
06/06 17:18, , 18F
的時候就看一下,發現異狀就強制程序執行終止,也許
06/06 17:18, 18F
06/06 17:18, , 19F
是可以降低災害的措施?
06/06 17:18, 19F
06/06 17:26, , 20F
設定權限當然可以防止,但是一般電腦設定權限不方便
06/06 17:26, 20F
06/06 17:27, , 21F
誰沒事會盯著程序看阿...而且直接拔電源線快多了
06/06 17:27, 21F
06/06 17:28, , 22F
可以裝一台NAS,每次備份就是要登入才能傳也安全
06/06 17:28, 22F
06/06 17:29, , 23F
svchost 別亂關 有些系統會調用 來說說我
06/06 17:29, 23F
06/06 17:29, , 24F
看過舊版加密中毒過程 恐怖在出現不到一
06/06 17:29, 24F
06/06 17:29, , 25F
秒就隱藏本身進程 執行中cpu使用率完全正
06/06 17:29, 25F
06/06 17:29, , 26F
常不會飄高 完全不會發覺 非常陰險 現在
06/06 17:29, 26F
06/06 17:29, , 27F
大家電腦都很好還ssd 只能多加備份 唯一
06/06 17:29, 27F
06/06 17:29, , 28F
06/06 17:29, 28F
06/06 17:30, , 29F
不用一直盯著看啊...覺得奇怪就Ctrl+Alt+Del一下很難
06/06 17:30, 29F
06/06 17:30, , 30F
嗎...?
06/06 17:30, 30F
06/06 17:30, , 31F
硬碟現在也不貴 做個系統完整備份不花太多錢的
06/06 17:30, 31F
06/06 17:56, , 32F
查過資料了,工作管理員內的程序不能被隱藏的,最多
06/06 17:56, 32F
06/06 17:57, , 33F
就是改名而已,所以平常多關心自己電腦,有沒有多出
06/06 17:57, 33F
06/06 17:58, , 34F
什麼奇怪的執行程序吧。
06/06 17:58, 34F
06/06 17:59, , 35F
jacklin大大 你知道被加密的時候工作管理員和cmd都開不
06/06 17:59, 35F
06/06 17:59, , 36F
起來嗎XD
06/06 17:59, 36F
06/06 18:00, , 37F
我就是沒中所以我才問啊...囧> 要不然我超想實驗看看
06/06 18:00, 37F
還有 36 則推文
還有 3 段內文
06/06 20:23, , 74F
-------------樓下使用方法2設定D槽影片中-------------
06/06 20:23, 74F
06/06 21:17, , 75F
哈 我的確是在用方法2設定D槽中 一些幾年來拍的照片跟影片
06/06 21:17, 75F
06/06 21:17, , 76F
畢竟久久才會去新增更動一次 不礙事
06/06 21:17, 76F
06/06 22:14, , 77F
改資料夾權限應該是目前最輕鬆的防堵方式了
06/06 22:14, 77F
06/06 22:14, , 78F
不過當用戶已受感染且不知情(不知病毒已作動)前提下
06/06 22:14, 78F
06/06 22:15, , 79F
雖然透過資料夾權限,可以擋死病毒的侵害行為
06/06 22:15, 79F
06/06 22:15, , 80F
但未來新增檔案,打開資料夾權限時,仍有風險再被加密
06/06 22:15, 80F
06/06 22:15, , 81F
因無法得知病毒母體是否已自殺,或已停止繼續加密
06/06 22:15, 81F
06/06 22:16, , 82F
因此建議在該磁碟或它磁碟根目錄下放幾張不重要的
06/06 22:16, 82F
06/06 22:16, , 83F
圖片當誘餌,作為判別電腦是否受感染的暫時判斷法..
06/06 22:16, 83F
06/06 22:26, , 84F
個人認為,把平常沒在用的重要檔案 例如多年來的照片
06/06 22:26, 84F
06/06 22:27, , 85F
你平時不會去看嘛,直接丟在一顆硬碟,然後把那顆硬碟
06/06 22:27, 85F
06/06 22:27, , 86F
設定離線,真的有需要用時,再設定回連線
06/06 22:27, 86F
06/06 22:28, , 87F
改權限目前可以擋,但是哪天駭客來個漏洞修改權限+勒索
06/06 22:28, 87F
06/06 22:29, , 88F
就..............
06/06 22:29, 88F
06/06 22:31, , 89F
現在隨身碟都有64G甚至更高了 內接硬碟也才2K
06/06 22:31, 89F
06/06 22:32, , 90F
這麼大費周章 還不如乾脆另外備份比較快
06/06 22:32, 90F
06/06 22:32, , 91F
BIOS裡把某硬碟disable 這樣怎麼修改權限都不可能傷害到了
06/06 22:32, 91F
06/06 22:33, , 92F
連硬碟都不可能被抓到了...
06/06 22:33, 92F
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 23:33:50
06/06 23:15, , 93F
我覺得離線這招更有效耶,不過病毒可以偵測離線硬碟並且把
06/06 23:15, 93F
06/06 23:15, , 94F
他修改回連線然後開始加密嗎?
06/06 23:15, 94F
06/06 23:17, , 95F
BIOS離線就不可能 非BIOS的離線也很難 除非UAC完全關閉
06/06 23:17, 95F
06/07 00:20, , 96F
也就是說方法一都有效對不對? 如果都有效,方法一好像
06/07 00:20, 96F
06/07 00:21, , 97F
比較方便
06/07 00:21, 97F
回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯, 但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加 密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
06/07 01:10, , 98F
方法ㄧ不就是最快被破解的那個嗎..
06/07 01:10, 98F
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 01:47:07
06/07 03:16, , 99F
瞭解
06/07 03:16, 99F
06/07 03:18, , 100F
l大我還想到一個方法,如果讓資料碟在沒有使用的時候離線,
06/07 03:18, 100F
06/07 03:18, , 101F
並且把UAC層級拉到最高,這樣資料碟的資料應該就可以免受
06/07 03:18, 101F
06/07 03:18, , 102F
威脅了吧?
06/07 03:18, 102F
06/07 03:18, , 103F
因為開啟磁碟管理會觸發最嚴格的UAC,當然別去按是就好了
06/07 03:18, 103F
06/07 03:20, , 104F
是說這類的病毒會去偵測離線的硬碟並且讓他恢復連線嗎?
06/07 03:20, 104F
我不認為病毒有辦法做到恢復連線,離線/連線交互使用磁碟機本身我覺得就是很棒的方 法囉,重點放在連線時小心使用這樣子。
06/07 05:50, , 105F
感覺應該要設計一個特大號的硬碟讀寫燈放在桌上
06/07 05:50, 105F
06/07 05:50, , 106F
只要有大量讀寫,燈狂閃的時候,就注意一下
06/07 05:50, 106F
哈哈,桌面永久常駐工作管理員也是可以啦.... ※ 編輯: lmkkml (1.175.27.117), 06/07/2016 11:18:52
06/08 04:25, , 107F
工作管理員會耗CPU啊~~
06/08 04:25, 107F
06/08 07:11, , 108F
06/08 07:11, 108F
更多 lmkkml 的文章
文章代碼(AID): #1NLJFmEZ (AntiVirus)
討論串 (同標題文章)
本文引述了以下文章的的內容:
以下文章回應了本文 (最舊先):
完整討論串 (本文為第 2 之 5 篇):
排序: 最新先 | 最舊先 | 留言數
在新視窗開啟完整討論串 (共5篇)
更多 lmkkml 的文章
文章代碼(AID): #1NLJFmEZ (AntiVirus)