[心得] 關於Ransomware綁架軟體的小小實驗
一開始先跟大家提到一個在XP時代有名的隨身碟病毒KAVO,
當時讓隨身碟免疫的方法就是在隨身碟根目錄下建立autorun.inf目錄,
然候應該很多人還有印象,再下一層有一個無法讀取及刪除的目錄123.
為什麼要提到這個,因為不論是使用者帳號限制也好,檔案設唯讀權限也好,
都是讓綁架軟體無法覆寫檔案的方式來保護,
而在這個123.的資料夾下的檔案,有點不一樣,
於是就有了這次的實驗。
注:要跟著下面實作的人,一點基礎需要。
***重要*** 第一步需在XP或XPE的環境下於C或D槽直接建立123.的資料夾
http://i.imgur.com/MjyNtVK.png
C:\>mkdir 123..\
資料夾名稱有限制必須6個半型字元以下,
http://i.imgur.com/tccQuLM.png
於是就得到看起來名稱為123.的資料夾。
http://i.imgur.com/ks8LlNn.png
無論在XP或WIN7以上環境直接雙擊左鍵開啟都會有同樣的提示,
並且無法直接讀取及刪除。
http://i.imgur.com/9l3Pfrv.png
本篇重點:
再來這個應該就很少人知道了!這個資料夾並非完全無法存取!
它其實如同一般資料夾可讀取可覆寫,
只是!!!無法使用一般路徑來作讀寫的動作!!!!
前面提到限制6個半型字元就是因為在這邊要用短檔名的方式去開啟,
超過6個半型字元好像就無法正常開啟了。
因為方便,這裡我使用寫入記事本存.bat的方式用於直接雙擊執行開啟,
命令也可以直接輸入
C:\>start C:\123~1
便可發現此資料夾被開啟了。
題外一下,這指令是在WIN7後才適用的,
在XP下我記得直接在路徑欄打上C:\123..就進去了,
升到WIN7時打不開差點崩潰,好久才在不知哪的外國論壇看到這個方法,
一直到現在WIN10依然可用,當時我覺的這真的是超適合拿來裝秘密,
內建搜尋不到,everything之類的搜尋軟體雖然看的到但不能摸,
不過現在不需要了就是...
實作的教學也就到這了,其實也不是很難,下面就看一些測試吧。
首先在一般資料夾和123.各放入相同及不同的檔案資料,
http://i.imgur.com/OafRFu6.png
1.作者良心發現的Crypt0L0cker
http://i.imgur.com/yVlD4A7.png
執行直到跳出訊息,就可以看到差別了,執行途中兩個資料夾仍然是開著的。
就可以知道在這個短檔名路徑下,綁架軟體無作用。
http://i.imgur.com/xgtKhdq.png
2.Cerber
http://i.imgur.com/TdR0YFh.png
一樣執行直到跳出訊息。
超兇連檔名也覆寫了,有趣的是會聽到播放聲音:
attention!
attention!
attention!
your documents photos databases and other important files have been encrypted.
然候重複十遍左右吧....
http://i.imgur.com/8THnX7N.png
3.最後大概會是本月 MVP CryptXXX3.0
試著換到WIN10看看。
http://i.imgur.com/LioJsRl.png
完美加密。除了123.資料夾
http://i.imgur.com/JhOLuFj.png
看最新的應該是.crypz,但我看了幾個樣本網站好像還沒有,
有善心人士抓給我玩我會很開心的。
最後就提醒一下,
保護檔案最好的方式還是離線備份,
上面的方法也不保證對以後綁架軟體有用,
因為這方法目前看起來似乎還有可用性,
所以就提供給各位了。
大概這樣。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.60.208
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465230874.A.1AF.html
※ 編輯: pendoth (220.132.60.208), 06/07/2016 00:45:18
→
06/07 00:58, , 1F
06/07 00:58, 1F
→
06/07 00:58, , 2F
06/07 00:58, 2F
推
06/07 01:02, , 3F
06/07 01:02, 3F
推
06/07 01:10, , 4F
06/07 01:10, 4F
→
06/07 01:10, , 5F
06/07 01:10, 5F
推
06/07 01:14, , 6F
06/07 01:14, 6F
推
06/07 01:32, , 7F
06/07 01:32, 7F
推
06/07 01:46, , 8F
06/07 01:46, 8F
→
06/07 01:47, , 9F
06/07 01:47, 9F
推
06/07 03:57, , 10F
06/07 03:57, 10F
推
06/07 06:04, , 11F
06/07 06:04, 11F
推
06/07 06:04, , 12F
06/07 06:04, 12F
→
06/07 06:04, , 13F
06/07 06:04, 13F
推
06/07 06:21, , 14F
06/07 06:21, 14F
→
06/07 06:22, , 15F
06/07 06:22, 15F
→
06/07 06:22, , 16F
06/07 06:22, 16F
→
06/07 06:23, , 17F
06/07 06:23, 17F
→
06/07 06:23, , 18F
06/07 06:23, 18F
推
06/07 06:49, , 19F
06/07 06:49, 19F
→
06/07 08:07, , 20F
06/07 08:07, 20F
→
06/07 08:09, , 21F
06/07 08:09, 21F
→
06/07 08:09, , 22F
06/07 08:09, 22F
測試的確可以!分區掛123.資料夾下依然可達到不被目前已知的勒索軟體加密的效果。
你好聰明!
推
06/07 08:17, , 23F
06/07 08:17, 23F
→
06/07 08:24, , 24F
06/07 08:24, 24F
推
06/07 08:56, , 25F
06/07 08:56, 25F
→
06/07 09:46, , 26F
06/07 09:46, 26F
→
06/07 09:51, , 27F
06/07 09:51, 27F
推
06/07 10:00, , 28F
06/07 10:00, 28F
推
06/07 10:23, , 29F
06/07 10:23, 29F
推
06/07 11:46, , 30F
06/07 11:46, 30F
推
06/07 11:47, , 31F
06/07 11:47, 31F
→
06/07 11:47, , 32F
06/07 11:47, 32F
推
06/07 12:51, , 33F
06/07 12:51, 33F
這句話應該標重點起來的,在XP下和在WIN7下同樣mkdir指令建出來的資料夾可不一樣,
WIN7下建的檔名會變123..,XP下則是123.,前者可以直接開啟但內容檔案開啟會產生
路徑上的錯誤;後者需靠指令進入,但內容檔案可正常開啟使用。
推
06/07 12:56, , 34F
06/07 12:56, 34F
→
06/07 13:00, , 35F
06/07 13:00, 35F
→
06/07 13:01, , 36F
06/07 13:01, 36F
mkdir就是建立資料夾目錄的指令,rmdir就是刪除資料夾目錄的指令,會砍掉是理所當然
的,就跟右鍵能建立資料夾也能刪除是一樣的,重點是綁架軟體目前無法針對到只能用短
檔名去開啟的資料夾內部檔案作加密的動作,所以這個資料夾才形成類似安全地帶的現象
※ 編輯: pendoth (220.132.60.208), 06/07/2016 22:21:56
→
06/08 04:23, , 37F
06/08 04:23, 37F
→
06/08 04:24, , 38F
06/08 04:24, 38F
→
06/08 04:24, , 39F
06/08 04:24, 39F
因為123..和123終究不是同一個目錄,只是你雙擊開啟123..資料夾時會被導向123,試著
先刪除123資料夾再去執行123..內的檔案,是不能正常開啟的;假如先在123..放一個檔案
再建立123資料夾,123..就會被導向123而變成空目錄。SO,還是得在XP下建立123.資料夾
才行。
推
06/08 13:44, , 40F
06/08 13:44, 40F
會,但不是每支勒索軟體都會。
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:27:29
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:34:00
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:36:35
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:38:41
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:39:11
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:42:32
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:43:27
※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:43:43
推
06/09 22:19, , 41F
06/09 22:19, 41F
→
06/09 22:19, , 42F
06/09 22:19, 42F