作者denru01 (阿儒)
看板AntiVirus
标题Re: [问题] 勒索病毒会透过USB感染其他电脑吗?
时间Wed Dec 16 11:11:39 2015
其实这个病毒跟你去外面付钱买的档案安全加密软体是几乎一样的东西,
只是外面的软体是会让你自己设定密码再加密档案,
这个软体是会自己"帮"你设定密码并直接加密档案,
你要做的就是付钱给他跟他拿密码.
除非防毒软体在他加密前把他给砍掉,
不然被他加密到的东西以现在有的技术,
破解可能需要几百年的时间,
这个是有数学证明的东西.
回覆在下面:
※ 引述《kumori (TSUYOSHI)》之铭言:
: 故事是这样的
: 在用朋友电脑的时侯
: 想说外接硬碟还有空间所以就帮他备份桌面跟D槽档案到外接硬碟
: 怎料到 过了5个多小时後
: 他的电脑就跑出勒索病毒了...
: 然後GOOGLE一下发现这个病毒很强大
: 我担心一下这些问题:
: 1.这个病毒再还没毒发前进行档案(不是系统)的备份
: 会感染USB硬碟以及曾插过其他电脑内的档案吗?
这些病毒的变种实在是太快了,
因为他实在是太好赚了,
我相信背後的集团肯定有人是全职在写这个东西的,
跟写一般收费软体一样认真,
你有什麽破解法,
他很快就"更新".
就现在的情况,
他只会加密, 不会感染,
除非你抓了一个有毒的破解程式,
然後把他备份进去,
下次执行还是死.
不过只要硬碟还插着且有读写权限,
就有可能会被加密.
: 2.这个病毒好像有潜伏期 大概多久?
就我所知,
这个潜伏期的原因是这个程式正在搜寻他的server在哪里,
因为那个他"帮"你设定的密码,
不是程式选的,
是server选好再告诉程式的.
程式作者不可能把server位置写死在程式里,
一来你只要挡掉这个位置就好,
二来也会让警察追踨到他,
所以他的位置是由一个规则产生的,
这个规则可能产生比方说十亿种组合,
只有一个是他server的位置,
所以程式就是依照这个规则产生位置,
然後连连看,
看连不连的上,
连上拿到server端选好的密码以後,
他就开始动作了.
所以没有所谓潜伏期一定多久,
看你网路速度、电脑速度、运气来决定.
: 3.如何知道电脑或USB有没有感染?有特徵吗?
目前已知就是硬碟会频繁的被读写.
: 4.这个病毒在电脑格式化後就解决了吗?
如果你格式化重灌後,
因为加密执行档已被删除,
就不会再继续被加密,
但已被加密的档案不会变回解密的.
如果是像前面的例子,
你再执行那个有问题的程式,
就会再被加密一次...
: 5.中了这个病毒几天内会毒发?
跟前面一样的问题.
: 问题有点多不好意思....
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 18.139.5.26
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1450235503.A.2AC.html
1F:→ abram: 所以严格来讲 这个软体就跟winrar一样不算是病毒 只是自动 12/16 12:38
2F:→ mmis1000: 差不多就跟被室友拿winrar加密硬碟上所有东西一样意思 12/16 13:10
3F:→ mmis1000: 加密完的rar档当然没毒,但没密码到死都打不开 12/16 13:11
4F:推 abram: 楼上讲的好生动喔 12/16 13:23
5F:→ chang0206: 潜伏期那边,不晓得有装FW的人,会不会看到啥执行档 12/16 17:33
6F:→ chang0206: 要求连上网路的 12/16 17:33
7F:推 mmis1000: 很多都是把自己inject到其他程式之後再执行的,像是expl 12/16 19:07
8F:→ mmis1000: ore.exe之类,那些程式本来就能连上网路,防火墙当然不 12/16 19:07
9F:→ mmis1000: 会管 12/16 19:07
10F:→ skychy: 唔?不过之前看到板友分享的经验,是这类勒索病毒并"不会" 12/17 12:22
11F:→ skychy: 感染其他程式再执行,而是用其他办法。也因为他不会去感染 12/17 12:23
12F:→ skychy: 程式,所以之前主流的防毒软体全部档不到,因为那些防毒软 12/17 12:23
13F:→ skychy: 体就是靠监控程式有无被修改来侦测的.. 12/17 12:24
14F:→ mmis1000: 他并不是修改其他程式的档案,而是修改记忆体中的内容 12/18 13:49
15F:→ mmis1000: 大部分防毒本来就不管,不过卡巴会管的样子 12/18 13:49
16F:→ mmis1000: 还有 EMET 好像也能挡掉一部份 12/18 13:50
17F:→ tsai82118: 是要怎麽作到修改记忆体内档案,这样不更动档案内容, 12/19 13:53
18F:→ tsai82118: 可是使用者关机後档案有被变更,所以是有写入档案的, 12/19 13:53
19F:→ tsai82118: 只是防毒软体只防更改及破坏系统档案,不对使用者档案 12/19 13:53
20F:→ tsai82118: 作防护,所以一般防毒才不阻挡,另外卡车司机明明VB100 12/19 13:53
21F:→ tsai82118: RAP测试成绩那麽差,怎麽还一堆人在买,感觉匪夷所思。 12/19 13:53
22F:→ tsai82118: 如果是只勒索软体不会修改系统档案,只作记忆体操作系 12/19 13:55
23F:→ tsai82118: 统档,这就前面大大说的inject啊 12/19 13:55
24F:→ mmis1000: 那个是回前一句的网路权限问题阿 12/19 18:38
25F:→ mmis1000: inject近有网路权限的程式,防火墙当然不会挡连线阿 12/19 18:38