作者chung74511 (迷惘)
看板AntiVirus
标题[问题] 请问这波勒索用之前的监控程式有用吗?
时间Mon Jun 6 01:13:19 2016
如题
最近听说又有大规模勒索病毒的受害者
而且很多人好像甚至不知道是怎麽中的
所以想问一下
之前不是有个强者写了一个监控小程式放在C槽下面
一旦监控的档被改名字就会自动关机
这程式当初救了我两三次
觉得超级好用的
这次的病毒应该也是改附档名
所以这程式应该还是能用吧?
还是说这次的变种是可以绕过这监控程式的呢@@?
请大家帮解惑一下~谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 36.237.32.110
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465146802.A.243.html
※ 编辑: chung74511 (36.237.32.110), 06/06/2016 01:13:35
1F:推 sunhad: 分享一下程式 06/06 01:22
2F:→ gsm60kimo: 要问yoyo大叔 06/06 01:26
3F:推 Argent: 正常来说病毒加密都来不及了 不可能去理这个台湾几只小猫 06/06 01:36
4F:→ Argent: 特别拿来防范的小程式(无恶意,纯粹以他们的角度@@) 06/06 01:37
6F:→ PTTCEO: 目前看来觉得这一招蛮不错的 应该是颇简单有效 06/06 01:46
7F:→ PTTCEO: 有人提到加密从桌面开始 或者可能会不加密特定档案 06/06 01:46
8F:→ chung74511: 这个程式可以在中毒没多久就强制关机 06/06 01:46
9F:→ PTTCEO: 大不了修改vbs加上各式各样的档案 加上桌面跟各磁区的检查 06/06 01:47
10F:→ chung74511: 可以有效减少损失(之前大概顶多损几十个档以内 06/06 01:47
11F:→ chung74511: 他不能防毒 但可以让你知道中奖了 06/06 01:48
12F:→ gsm60kimo: 不知将Windows Script Host 工具停用 是否可有效防堵~ 06/06 01:48
13F:→ PTTCEO: WHS只能针对是由.js发动的 06/06 01:49
14F:→ chung74511: 如果vbs有效的话 这应该比任何防毒都好用 06/06 01:50
15F:→ PTTCEO: 是说目前的脚本只检查档案在不在 及有没有被改名 06/06 01:52
16F:→ PTTCEO: 如果之後跑出一只变种只加密不帮你改副档名 就侦测不到了 06/06 01:52
17F:→ PTTCEO: 要等O大出检查档案hash值的版本 06/06 01:53
18F:→ chung74511: 目前看起来加密好像都会改名 所以应该是还能用对吧~ 06/06 02:03
19F:→ chung74511: 顺便问一下hash值是啥东西~ 06/06 02:04
20F:→ PTTCEO: 目前看起来是这样 所以应该都还是可以有效止血的 06/06 02:10
21F:→ PTTCEO: 杂凑值 有点复杂 简单说你可以先算出原本档案的hash值 06/06 02:10
22F:→ PTTCEO: 一但档案被改过 再算他的hash值会跟原本不一样 06/06 02:11
23F:→ PTTCEO: 比对不一样就知道档案被动过 06/06 02:11
24F:→ louis925: 也许可以不用到算hash值 06/06 03:46
25F:→ dennisxkimo: 写常驻程式侦测预警目录 不用查hash 因不会去改档案 06/06 10:07