作者pendoth (46825)
看板AntiVirus
标题[心得] 关於Ransomware绑架软体的小小实验
时间Tue Jun 7 00:34:28 2016
一开始先跟大家提到一个在XP时代有名的随身碟病毒KAVO,
当时让随身碟免疫的方法就是在随身碟根目录下建立autorun.inf目录,
然候应该很多人还有印象,再下一层有一个无法读取及删除的目录123.
为什麽要提到这个,因为不论是使用者帐号限制也好,档案设唯读权限也好,
都是让绑架软体无法覆写档案的方式来保护,
而在这个123.的资料夹下的档案,有点不一样,
於是就有了这次的实验。
注:要跟着下面实作的人,一点基础需要。
***重要*** 第一步需在
XP或
XPE的环境下於C或D槽直接建立123.的资料夹
http://i.imgur.com/MjyNtVK.png
C:\>mkdir 123..\
资料夹名称有限制必须6个半型字元以下,
http://i.imgur.com/tccQuLM.png
於是就得到看起来名称为123.的资料夹。
http://i.imgur.com/ks8LlNn.png
无论在XP或WIN7以上环境直接双击左键开启都会有同样的提示,
并且无法直接读取及删除。
http://i.imgur.com/9l3Pfrv.png
http://i.imgur.com/0cOPmb8.png
本篇重点:
再来这个应该就很少人知道了!这个资料夹并非完全无法存取!
它其实如同一般资料夹可读取可覆写,
只是!!!无法使用一般路径来作读写的动作!!!!
前面提到限制6个半型字元就是因为在这边要用短档名的方式去开启,
超过6个半型字元好像就无法正常开启了。
因为方便,这里我使用写入记事本存.bat的方式用於直接双击执行开启,
命令也可以直接输入
C:\>start C:\123~1
便可发现此资料夹被开启了。
题外一下,这指令是在WIN7後才适用的,
在XP下我记得直接在路径栏打上C:\123..就进去了,
升到WIN7时打不开差点崩溃,好久才在不知哪的外国论坛看到这个方法,
一直到现在WIN10依然可用,当时我觉的这真的是超适合拿来装秘密,
内建搜寻不到,everything之类的搜寻软体虽然看的到但不能摸,
不过现在不需要了就是...
实作的教学也就到这了,其实也不是很难,下面就看一些测试吧。
首先在一般资料夹和123.各放入相同及不同的档案资料,
http://i.imgur.com/OafRFu6.png
1.作者良心发现的Crypt0L0cker
http://i.imgur.com/yVlD4A7.png
执行直到跳出讯息,就可以看到差别了,执行途中两个资料夹仍然是开着的。
就可以知道在这个短档名路径下,绑架软体无作用。
http://i.imgur.com/xgtKhdq.png
2.Cerber
http://i.imgur.com/TdR0YFh.png
一样执行直到跳出讯息。
超凶连档名也覆写了,有趣的是会听到播放声音:
attention!
attention!
attention!
your documents photos databases and other important files have been encrypted.
然候重复十遍左右吧....
http://i.imgur.com/8THnX7N.png
3.最後大概会是本月 MVP CryptXXX3.0
试着换到WIN10看看。
http://i.imgur.com/LioJsRl.png
完美加密。除了123.资料夹
http://i.imgur.com/JhOLuFj.png
看最新的应该是.crypz,但我看了几个样本网站好像还没有,
有善心人士抓给我玩我会很开心的。
最後就提醒一下,
保护档案最好的方式还是离线备份,
上面的方法也不保证对以後绑架软体有用,
因为这方法目前看起来似乎还有可用性,
所以就提供给各位了。
大概这样。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.132.60.208
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465230874.A.1AF.html
※ 编辑: pendoth (220.132.60.208), 06/07/2016 00:45:18
1F:→ s79072002: 我该庆祝,我中的是良心发现的勒索病毒吗...? 06/07 00:58
2F:→ s79072002: 资料救回80% 06/07 00:58
3F:推 frank1033: 酷喔~~ 感谢测试 06/07 01:02
4F:推 pyc888: 以前玩 FxP 常常用ASCII建资料夹偷塞东西。没想到可以挡现 06/07 01:10
5F:→ pyc888: 在的勒索病毒啊 06/07 01:10
6F:推 lmkkml: 推!有点猛耶 06/07 01:14
7F:推 srewq: 推!! 06/07 01:32
8F:推 GAMETYRANT: 推!很有趣且认真的测试~ 06/07 01:46
9F:→ GAMETYRANT: 旧时代对付KAVO的手段,竟也成为CRYP的克星之一 :P 06/07 01:47
10F:推 sheilarea200: 06/07 03:57
11F:推 andy90498: 推... 06/07 06:04
12F:推 MoJi: 所以是把资料放在123.资料夹就可抵挡目前的勒索毒吗?用普通 06/07 06:04
13F:→ MoJi: 右键重新命名的方式? 06/07 06:04
14F:推 andy90498: 请问一下 刚刚用WIN7测试了一下 发现确实该123.资料夹 06/07 06:21
15F:→ andy90498: 确实无法删除、更名 但能直接左键开启? 06/07 06:22
16F:→ andy90498: 之後我尝试把档案丢进去该资料夹 发现可更名、删除 06/07 06:22
17F:→ andy90498: 但无法开启 是因为我不是在XP系统建立该资料夹的关系 06/07 06:23
18F:→ andy90498: 吗? 06/07 06:23
19F:推 andy90498: CMD 没办法CD进123. 以及没办法START该资料夹里的档案 06/07 06:49
20F:→ go1717: 那用Unlocker可以删除吗? 06/07 08:07
21F:→ Bellkna: 把分割区挂戴在该目录下的目录不知道效果如何 06/07 08:09
22F:→ Bellkna: 还可以省掉搬东西的麻烦 06/07 08:09
测试的确可以!分区挂123.资料夹下依然可达到不被目前已知的勒索软体加密的效果。
你好聪明!
23F:推 andy90498: 回go1717 使用unlock也无法删除喔 06/07 08:17
24F:→ Bellkna: 7-zip和filezilla 理论上应该就能直接建这种目录 06/07 08:24
25F:推 wackyjazz: 感觉专业推~~~ 06/07 08:56
26F:→ swpoker: win7(64) 都能用档案总管开启阿 06/07 09:46
27F:→ go1717: 但打"rmdir 123..\"该目录就会被砍@@ 06/07 09:51
28F:推 jan06010504: 如果用档案总管可以开,那这方法是不是就无效了? 06/07 10:00
29F:推 chang0206: 楼上 原PO不就都实验过了吗? 06/07 10:23
30F:推 jsbach813: 为什麽我只能做"123.." 没办法做"123." ?跪求 06/07 11:46
31F:推 jan06010504: sor,问得不够准确,是想问楼上a大有说可直接左键开 06/07 11:47
32F:→ jan06010504: 启,这样还有防御效果吗? 06/07 11:47
33F:推 jacklin2002: 原po说了,要在XP或XPE的环境下才能建立..... 06/07 12:51
这句话应该标重点起来的,在XP下和在WIN7下同样mkdir指令建出来的资料夹可不一样,
WIN7下建的档名会变123..,XP下则是123.,前者可以直接开启但内容档案开启会产生
路径上的错误;後者需靠指令进入,但内容档案可正常开启使用。
34F:推 jan06010504: 好的,感谢 06/07 12:56
35F:→ go1717: win10也可以建立 06/07 13:00
36F:→ go1717: 问题是用指令建立的资料夹 也能用指令砍掉@@ 06/07 13:01
mkdir就是建立资料夹目录的指令,rmdir就是删除资料夹目录的指令,会砍掉是理所当然
的,就跟右键能建立资料夹也能删除是一样的,重点是绑架软体目前无法针对到只能用短
档名去开启的资料夹内部档案作加密的动作,所以这个资料夹才形成类似安全地带的现象
※ 编辑: pendoth (220.132.60.208), 06/07/2016 22:21:56
37F:→ louis925: 我在 Win 7 下建立 123..\ ,会自动产生123和123..两个 06/08 04:23
38F:→ louis925: 资料夹耶,内部档案都可以正常开启关闭 06/08 04:24
39F:→ louis925: 但是档案总管只能删掉123,123..必须透过rmdir删除 06/08 04:24
因为123..和123终究不是同一个目录,只是你双击开启123..资料夹时会被导向123,试着
先删除123资料夹再去执行123..内的档案,是不能正常开启的;假如先在123..放一个档案
再建立123资料夹,123..就会被导向123而变成空目录。SO,还是得在XP下建立123.资料夹
才行。
40F:推 chang0206: 呃,可以请问一下 VHD 档案也会被这个加密吗? 06/08 13:44
会,但不是每支勒索软体都会。
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:27:29
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:34:00
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:36:35
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:38:41
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:39:11
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:42:32
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:43:27
※ 编辑: pendoth (220.132.60.208), 06/09/2016 04:43:43
41F:推 gj942l41l4: 请问有XP以外作业系统的做法吗?还是一定要找一台XP自 06/09 22:19
42F:→ gj942l41l4: 己建一个这样的资料夹? 06/09 22:19