作者aria0520 (紫)
看板AntiVirus
标题[心得] 勒索病毒对策:简易监控小脚本
时间Thu Dec 10 22:04:58 2015
总之,写了一个简单的小脚本
基本概念就是他会每30秒监测C:/1.jpg这个路径
如果这个路径消失了(也就是1.jpg被修改)就会强迫关机
例如被改成1.jpg.vvv就会0秒强迫关机
我把脚本放在ntu space可以安心下载(更新ver2.01)
https://goo.gl/00d20D
内有两个档案:
1.jpg
监控用的vbs脚本
如果不放心可以直接右键编辑看里面的程式码
也可以自行修改,概念很简单
使用方法直接解压缩在C槽底下就行
要上网之类的时候就点一下vbs档,就会开始监控了
占的资源极小基本上可以忽视
如果要开机自动执行的话也很简单
win+R 执行gpedit.msc 按电脑设定/windows设定/指令码(启动/关机)
把vbs脚本新增进去即可
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 27.147.16.95
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1449756300.A.772.html
1F:→ go1717: 也有一说是从桌面的档案开始加密 12/10 22:34
2F:→ brianuser: 我手边的,jpg空白他会不理 12/10 22:36
3F:推 kenick: 感谢分享 12/10 23:19
※ 编辑: aria0520 (27.147.16.95), 12/10/2015 23:34:06
※ 编辑: aria0520 (27.147.16.95), 12/10/2015 23:43:53
4F:推 jdn325: 感谢分享 秒数设定再短一点会有影响吗? 12/10 23:57
5F:→ aria0520: 不会,可以自行修改wscript.sleep 30000 这行 12/10 23:58
6F:→ aria0520: 10秒就是10000 12/10 23:58
7F:推 anckyX: 作者有测试过吗? 12/11 00:12
8F:→ aria0520: 有 12/11 00:21
9F:推 chin742202: 可以用.感谢! 12/11 01:03
10F:推 xuptjo: 感谢 但是否还是会有其他档案被修改吗 12/11 01:08
11F:→ brianuser: 意义不大,因为当你的 C:\1.jpg 不见的时候我的文件桌 12/11 02:08
12F:→ brianuser: 面的东西已经拜了 12/11 02:08
13F:推 mixmaster: 是否可多个地方存放1.jpg监控?档名改成排序最前面会 12/11 02:22
14F:→ mixmaster: 不会少一点灾情,不过也不知道同一个资料夹一堆jpg病毒 12/11 02:22
15F:→ mixmaster: 从哪个开始加密,速度很快不过至少减少一些灾情 12/11 02:22
16F:→ brianuser: 作者给了架构,你可以用记事本自己编里面 12/11 02:48
17F:推 skill1095: 谢谢!! 12/11 03:04
18F:→ teravideo: 将"1.jpg"改成"!.jpg",在排序时会比较优先 12/11 07:40
19F:推 sadcafe: 请问强迫关机之後要怎麽办?再开机还是? 12/11 10:23
20F:→ greg7575: 拔网路线啊 12/11 10:26
21F:推 stringargs23: 强迫关机 拔硬碟到其他电脑 12/11 10:35
22F:→ xuptjo: 拔硬碟到其他电脑 会有用吗... 12/11 11:20
23F:推 chang0206: 拔硬碟去其他电脑,是让你赶快备份还没被加密的档案 12/11 11:40
24F:推 q0000hcc: 推 12/11 12:08
25F:→ kax0205: 任何装置都不要连上被感染的OS槽 12/11 12:20
26F:推 abramtw: 推 值得鼓励 12/11 13:10
27F:→ tsai82118: 关机以後用Ubuntu Live CD启动救资料 12/11 14:00
28F:推 frenzygod: 我下载下来後点开执行後就关机了,这样表示中奖了吗? 12/11 17:36
29F:推 agreerga: 楼上 你有把档案放对位置吗XD 12/11 17:51
30F:推 frenzygod: 谢谢楼上提醒!嘘自己一下...就在上午中奖一台电脑後 12/11 18:10
31F:→ frenzygod: 已经被这vvv吓死了 :( 12/11 18:11
32F:推 SSglamr: 1.jpg 学姐与学弟 12/11 20:13
33F:→ aria0520: XD 12/11 20:19
34F:推 mathrew: 结果漏掉这个 先加密别的档案 XD 12/11 21:34
35F:推 mathrew: 刚试了 可以用 感谢 12/11 21:40
36F:推 ids93216: 其实我觉得这个不一定有用耶,万一不是从C:\开始也没用 12/11 22:13
37F:→ ids93216: 而且下完指令等他慢慢关机也加密得差不多了 12/11 22:13
38F:→ ids93216: 不过有心还是推一个 12/11 22:13
39F:推 LegendC: 请问有异况发生时先关机比较好还是先拔掉网路比较好? 12/11 23:05
40F:推 magiyan: 谢谢阿 12/11 23:13
41F:→ go1717: 楼上上 直接把电源关掉最快 12/12 00:03
42F:→ aria0520: 不会慢慢关机 应该是会马上强迫关机 12/12 00:30
43F:→ aria0520: 总之就当做个停损点8 12/12 00:31
44F:推 blue901207: 请问开机自动执行是加入"关机"这个选项 指令码vbs吗3Q 12/14 18:21
45F:推 cak90253: 感谢 12/15 09:18
46F:推 junstock: 若加入开机启动并不幸中标 会陷入开机、关机的回圈吗 12/15 14:31
47F:推 belion: 这应该惿关机後,拔硬碟到另一台备份尚未被加密的资料.. 12/15 14:37
48F:推 magiyan: 回楼上上,会。 12/15 22:23
49F:→ Moscato: 针对原PO的脚本,我小改写了一下加入纪录jpg档被修改的功 12/16 08:22
50F:→ Moscato: 能,同时加入了对话方块提醒使用者发现档案已被变更,纪 12/16 08:22
51F:→ Moscato: 录档的位置会在目前使用者的我的文件资料夹下 名称为 12/16 08:24
52F:→ Moscato: 已侦测对C:\1.jpg档案的变更.txt 12/16 08:37
53F:→ Moscato: 请将侦测用的log_of_1.jpg.bat档与jpg档放置在C:\目录下 12/16 08:38
54F:→ Moscato: 并下载我的vbs脚本取代原PO写的 当然也可以右键看原始码 12/16 08:38
55F:→ Moscato: 自己把那部份的程式码移植过去 12/16 08:39
57F:→ Moscato: 不然电脑自己关机了还不知道为什麽 12/16 08:50
58F:→ Moscato: 修改了一下 取消从外部呼叫bat 避免找不到批次档时无法继 12/18 07:23
60F:推 chung74511: 这超有用 刚刚就发挥功效了= = 01/08 04:36