如题 之前我打了一篇#1MM50tcZ (AntiVirus) "隐藏磁碟机代号是否能够避免勒索软体" 这一次找来了许多样本 包括torrentlocker(crypt0l0cker) CTB-locker cryptowall3.0(4.0样本有人有吗 我找不到) cryptoholder(这好像比较少见) 这一些样本 来进行测试 这一次被测试的内容有doc docx xlsx jpg cpp wmv exe这一些 http://i.imgur.com/4pehB5a.jpg ↑我们先将东西放进去那个等等要被隐藏的磁碟区内 http://i.imgur.com/wBXxu0T.jpg ↑接着将该磁碟区代号移除 http://i.imgur.com/WCbdYra.jpg ↑接着，执行所有的病毒样本 (执行过程 明显感觉CPU风扇变大声一些，但是其实不会很大声) 在点击时 我有开UAC 但是没有跳出确认是否要执行的视窗 So... 有些是执行完毕後 原本的档案就直接消失 有些则不会 http://i.imgur.com/BSrIemV.jpg ↑过几分钟後 档案开始被加密 http://i.imgur.com/F562SFO.jpg ↑并且会一直跳出有东西停止运作 http://i.imgur.com/SLjVieD.jpg ↑重开机後 桌面由CTB-locker成功拿下 http://i.imgur.com/d6cUBSe.jpg http://i.imgur.com/trRI1s7.jpg ↑但大多数的东西还是由cryptowall3.0拿下(当然不排除一个档案被多次加密了) http://i.imgur.com/ST8Fuj2.jpg ↑RAR ZIP 7Z通通被加密，但是应用程式.exe却没有 实际打开GPU-Z 确定正常可以开 http://i.imgur.com/BOqrZu2.jpg ↑强制打开都是乱码 http://i.imgur.com/2aEij9v.jpg ↑之後跳出这个 推测是勒索软体想要砍掉磁碟区阴影复制 让你无法还原 http://i.imgur.com/4kwbhw2.jpg ↑doc docx xlsx jpg cpp wmv通通被加密 不过自己写的EXE似乎不会 或许是档案太小 http://i.imgur.com/GoL7Pm4.jpg ↑这时後使用百度云查杀 清除感染，避免档案再次被加密(随便找一个来用的) (PS 实际上请不要这样搞 请去用PE来搞，防毒软体不一定有用) http://i.imgur.com/A8j3uwL.jpg ↑这时候恢复磁碟机代号，并打开 档案似乎都没被勒索到 http://i.imgur.com/DufR1Zl.jpg ↑试开看看 确定完全没问题 (当然 在C槽以经被加密的档案还是QQ了) 结论 这招目前看起来还是有效的 不过不确定在日後变种还会不会有效 最好的方法就是用其他硬碟备份 之後拔出来 有几个好处 一就是这样绝对不会被加密勒索 二就是如果你电脑的电源供应器出问题 把所有硬碟打坏 这样就能避免了 话说有人可以提供给我 cryptowall4.0的样本吗 想要玩看看 -- ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 看板《WhiteCat》 ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 白猫 Project板 ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 怎麽前往 ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄(C)lass->7 战略高手 ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄->9 G_MobileGame ▄ ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄->WhiteCat 动作 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 175.181.39.154 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1448892094.A.AB5.html 其实直接在bios里面将那个SATA PORT disable会更好 但是有些主机板没办法这样搞 而且对於硬碟只有一颗的人来说也没办法 ※ 编辑: qxxrbull (175.181.39.154), 11/30/2015 22:14:26 会 从flash打进来的 flash能够存取本机端就会 有 但是有些东西要登录 然後登入他会说什麽IP不接受之类的 ※ 编辑: qxxrbull (175.181.39.154), 12/01/2015 09:55:31 有空试试看 ※ 编辑: qxxrbull (175.181.39.154), 12/02/2015 22:59:20