[心得] 關於Ransomware綁架軟體的小小實驗

看板AntiVirus作者 (46825)時間8年前 (2016/06/07 00:34), 8年前編輯推噓20(20022)
留言42則, 19人參與, 最新討論串1/1
一開始先跟大家提到一個在XP時代有名的隨身碟病毒KAVO, 當時讓隨身碟免疫的方法就是在隨身碟根目錄下建立autorun.inf目錄, 然候應該很多人還有印象,再下一層有一個無法讀取及刪除的目錄123. 為什麼要提到這個,因為不論是使用者帳號限制也好,檔案設唯讀權限也好, 都是讓綁架軟體無法覆寫檔案的方式來保護, 而在這個123.的資料夾下的檔案,有點不一樣, 於是就有了這次的實驗。 注:要跟著下面實作的人,一點基礎需要。 ***重要*** 第一步需在XPXPE的環境下於C或D槽直接建立123.的資料夾 http://i.imgur.com/MjyNtVK.png
C:\>mkdir 123..\ 資料夾名稱有限制必須6個半型字元以下, http://i.imgur.com/tccQuLM.png
於是就得到看起來名稱為123.的資料夾。 http://i.imgur.com/ks8LlNn.png
無論在XP或WIN7以上環境直接雙擊左鍵開啟都會有同樣的提示, 並且無法直接讀取及刪除。 http://i.imgur.com/9l3Pfrv.png
http://i.imgur.com/0cOPmb8.png
本篇重點: 再來這個應該就很少人知道了!這個資料夾並非完全無法存取! 它其實如同一般資料夾可讀取可覆寫, 只是!!!無法使用一般路徑來作讀寫的動作!!!! 前面提到限制6個半型字元就是因為在這邊要用短檔名的方式去開啟, 超過6個半型字元好像就無法正常開啟了。 因為方便,這裡我使用寫入記事本存.bat的方式用於直接雙擊執行開啟, 命令也可以直接輸入 C:\>start C:\123~1 便可發現此資料夾被開啟了。 題外一下,這指令是在WIN7後才適用的, 在XP下我記得直接在路徑欄打上C:\123..就進去了, 升到WIN7時打不開差點崩潰,好久才在不知哪的外國論壇看到這個方法, 一直到現在WIN10依然可用,當時我覺的這真的是超適合拿來裝秘密, 內建搜尋不到,everything之類的搜尋軟體雖然看的到但不能摸, 不過現在不需要了就是... 實作的教學也就到這了,其實也不是很難,下面就看一些測試吧。 首先在一般資料夾和123.各放入相同及不同的檔案資料, http://i.imgur.com/OafRFu6.png
1.作者良心發現的Crypt0L0cker http://i.imgur.com/yVlD4A7.png
執行直到跳出訊息,就可以看到差別了,執行途中兩個資料夾仍然是開著的。 就可以知道在這個短檔名路徑下,綁架軟體無作用。 http://i.imgur.com/xgtKhdq.png
2.Cerber http://i.imgur.com/TdR0YFh.png
一樣執行直到跳出訊息。 超兇連檔名也覆寫了,有趣的是會聽到播放聲音: attention! attention! attention! your documents photos databases and other important files have been encrypted. 然候重複十遍左右吧.... http://i.imgur.com/8THnX7N.png
3.最後大概會是本月 MVP CryptXXX3.0 試著換到WIN10看看。 http://i.imgur.com/LioJsRl.png
完美加密。除了123.資料夾 http://i.imgur.com/JhOLuFj.png
看最新的應該是.crypz,但我看了幾個樣本網站好像還沒有, 有善心人士抓給我玩我會很開心的。 最後就提醒一下, 保護檔案最好的方式還是離線備份, 上面的方法也不保證對以後綁架軟體有用, 因為這方法目前看起來似乎還有可用性, 所以就提供給各位了。 大概這樣。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.60.208 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465230874.A.1AF.html ※ 編輯: pendoth (220.132.60.208), 06/07/2016 00:45:18
06/07 00:58, , 1F
我該慶祝,我中的是良心發現的勒索病毒嗎...?
06/07 00:58, 1F
06/07 00:58, , 2F
資料救回80%
06/07 00:58, 2F
06/07 01:02, , 3F
酷喔~~ 感謝測試
06/07 01:02, 3F
06/07 01:10, , 4F
以前玩 FxP 常常用ASCII建資料夾偷塞東西。沒想到可以擋現
06/07 01:10, 4F
06/07 01:10, , 5F
在的勒索病毒啊
06/07 01:10, 5F
06/07 01:14, , 6F
推!有點猛耶
06/07 01:14, 6F
06/07 01:32, , 7F
推!!
06/07 01:32, 7F
06/07 01:46, , 8F
推!很有趣且認真的測試~
06/07 01:46, 8F
06/07 01:47, , 9F
舊時代對付KAVO的手段,竟也成為CRYP的剋星之一 :P
06/07 01:47, 9F
06/07 03:57, , 10F
06/07 03:57, 10F
06/07 06:04, , 11F
推...
06/07 06:04, 11F
06/07 06:04, , 12F
所以是把資料放在123.資料夾就可抵擋目前的勒索毒嗎?用普通
06/07 06:04, 12F
06/07 06:04, , 13F
右鍵重新命名的方式?
06/07 06:04, 13F
06/07 06:21, , 14F
請問一下 剛剛用WIN7測試了一下 發現確實該123.資料夾
06/07 06:21, 14F
06/07 06:22, , 15F
確實無法刪除、更名 但能直接左鍵開啟?
06/07 06:22, 15F
06/07 06:22, , 16F
之後我嘗試把檔案丟進去該資料夾 發現可更名、刪除
06/07 06:22, 16F
06/07 06:23, , 17F
但無法開啟 是因為我不是在XP系統建立該資料夾的關係
06/07 06:23, 17F
06/07 06:23, , 18F
嗎?
06/07 06:23, 18F
06/07 06:49, , 19F
CMD 沒辦法CD進123. 以及沒辦法START該資料夾裡的檔案
06/07 06:49, 19F
06/07 08:07, , 20F
那用Unlocker可以刪除嗎?
06/07 08:07, 20F
06/07 08:09, , 21F
把分割區掛戴在該目錄下的目錄不知道效果如何
06/07 08:09, 21F
06/07 08:09, , 22F
還可以省掉搬東西的麻煩
06/07 08:09, 22F
測試的確可以!分區掛123.資料夾下依然可達到不被目前已知的勒索軟體加密的效果。 你好聰明!
06/07 08:17, , 23F
回go1717 使用unlock也無法刪除喔
06/07 08:17, 23F
06/07 08:24, , 24F
7-zip和filezilla 理論上應該就能直接建這種目錄
06/07 08:24, 24F
06/07 08:56, , 25F
感覺專業推~~~
06/07 08:56, 25F
06/07 09:46, , 26F
win7(64) 都能用檔案總管開啟阿
06/07 09:46, 26F
06/07 09:51, , 27F
但打"rmdir 123..\"該目錄就會被砍@@
06/07 09:51, 27F
06/07 10:00, , 28F
如果用檔案總管可以開,那這方法是不是就無效了?
06/07 10:00, 28F
06/07 10:23, , 29F
樓上 原PO不就都實驗過了嗎?
06/07 10:23, 29F
06/07 11:46, , 30F
為什麼我只能做"123.." 沒辦法做"123." ?跪求
06/07 11:46, 30F
06/07 11:47, , 31F
sor,問得不夠準確,是想問樓上a大有說可直接左鍵開
06/07 11:47, 31F
06/07 11:47, , 32F
啟,這樣還有防禦效果嗎?
06/07 11:47, 32F
06/07 12:51, , 33F
原po說了,要在XP或XPE的環境下才能建立.....
06/07 12:51, 33F
這句話應該標重點起來的,在XP下和在WIN7下同樣mkdir指令建出來的資料夾可不一樣, WIN7下建的檔名會變123..,XP下則是123.,前者可以直接開啟但內容檔案開啟會產生 路徑上的錯誤;後者需靠指令進入,但內容檔案可正常開啟使用。
06/07 12:56, , 34F
好的,感謝
06/07 12:56, 34F
06/07 13:00, , 35F
win10也可以建立
06/07 13:00, 35F
06/07 13:01, , 36F
問題是用指令建立的資料夾 也能用指令砍掉@@
06/07 13:01, 36F
mkdir就是建立資料夾目錄的指令,rmdir就是刪除資料夾目錄的指令,會砍掉是理所當然 的,就跟右鍵能建立資料夾也能刪除是一樣的,重點是綁架軟體目前無法針對到只能用短 檔名去開啟的資料夾內部檔案作加密的動作,所以這個資料夾才形成類似安全地帶的現象 ※ 編輯: pendoth (220.132.60.208), 06/07/2016 22:21:56
06/08 04:23, , 37F
我在 Win 7 下建立 123..\ ,會自動產生123和123..兩個
06/08 04:23, 37F
06/08 04:24, , 38F
資料夾耶,內部檔案都可以正常開啟關閉
06/08 04:24, 38F
06/08 04:24, , 39F
但是檔案總管只能刪掉123,123..必須透過rmdir刪除
06/08 04:24, 39F
因為123..和123終究不是同一個目錄,只是你雙擊開啟123..資料夾時會被導向123,試著 先刪除123資料夾再去執行123..內的檔案,是不能正常開啟的;假如先在123..放一個檔案 再建立123資料夾,123..就會被導向123而變成空目錄。SO,還是得在XP下建立123.資料夾 才行。
06/08 13:44, , 40F
呃,可以請問一下 VHD 檔案也會被這個加密嗎?
06/08 13:44, 40F
會,但不是每支勒索軟體都會。 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:27:29 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:34:00 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:36:35 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:38:41 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:39:11 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:42:32 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:43:27 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:43:43
06/09 22:19, , 41F
請問有XP以外作業系統的做法嗎?還是一定要找一台XP自
06/09 22:19, 41F
06/09 22:19, , 42F
己建一個這樣的資料夾?
06/09 22:19, 42F
更多 pendoth 的文章
文章代碼(AID): #1NLQOQ6l (AntiVirus)