作者aria0520 (紫)
看板AntiVirus
標題[心得] 勒索病毒對策:簡易監控小腳本
時間Thu Dec 10 22:04:58 2015
總之,寫了一個簡單的小腳本
基本概念就是他會每30秒監測C:/1.jpg這個路徑
如果這個路徑消失了(也就是1.jpg被修改)就會強迫關機
例如被改成1.jpg.vvv就會0秒強迫關機
我把腳本放在ntu space可以安心下載(更新ver2.01)
https://goo.gl/00d20D
內有兩個檔案:
1.jpg
監控用的vbs腳本
如果不放心可以直接右鍵編輯看裡面的程式碼
也可以自行修改,概念很簡單
使用方法直接解壓縮在C槽底下就行
要上網之類的時候就點一下vbs檔,就會開始監控了
佔的資源極小基本上可以忽視
如果要開機自動執行的話也很簡單
win+R 執行gpedit.msc 按電腦設定/windows設定/指令碼(啟動/關機)
把vbs腳本新增進去即可
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.147.16.95
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1449756300.A.772.html
1F:→ go1717: 也有一說是從桌面的檔案開始加密 12/10 22:34
2F:→ brianuser: 我手邊的,jpg空白他會不理 12/10 22:36
3F:推 kenick: 感謝分享 12/10 23:19
※ 編輯: aria0520 (27.147.16.95), 12/10/2015 23:34:06
※ 編輯: aria0520 (27.147.16.95), 12/10/2015 23:43:53
4F:推 jdn325: 感謝分享 秒數設定再短一點會有影響嗎? 12/10 23:57
5F:→ aria0520: 不會,可以自行修改wscript.sleep 30000 這行 12/10 23:58
6F:→ aria0520: 10秒就是10000 12/10 23:58
7F:推 anckyX: 作者有測試過嗎? 12/11 00:12
8F:→ aria0520: 有 12/11 00:21
9F:推 chin742202: 可以用.感謝! 12/11 01:03
10F:推 xuptjo: 感謝 但是否還是會有其他檔案被修改嗎 12/11 01:08
11F:→ brianuser: 意義不大,因為當你的 C:\1.jpg 不見的時候我的文件桌 12/11 02:08
12F:→ brianuser: 面的東西已經拜了 12/11 02:08
13F:推 mixmaster: 是否可多個地方存放1.jpg監控?檔名改成排序最前面會 12/11 02:22
14F:→ mixmaster: 不會少一點災情,不過也不知道同一個資料夾一堆jpg病毒 12/11 02:22
15F:→ mixmaster: 從哪個開始加密,速度很快不過至少減少一些災情 12/11 02:22
16F:→ brianuser: 作者給了架構,你可以用記事本自己編裡面 12/11 02:48
17F:推 skill1095: 謝謝!! 12/11 03:04
18F:→ teravideo: 將"1.jpg"改成"!.jpg",在排序時會比較優先 12/11 07:40
19F:推 sadcafe: 請問強迫關機之後要怎麼辦?再開機還是? 12/11 10:23
20F:→ greg7575: 拔網路線啊 12/11 10:26
21F:推 stringargs23: 強迫關機 拔硬碟到其他電腦 12/11 10:35
22F:→ xuptjo: 拔硬碟到其他電腦 會有用嗎... 12/11 11:20
23F:推 chang0206: 拔硬碟去其他電腦,是讓你趕快備份還沒被加密的檔案 12/11 11:40
24F:推 q0000hcc: 推 12/11 12:08
25F:→ kax0205: 任何裝置都不要連上被感染的OS槽 12/11 12:20
26F:推 abramtw: 推 值得鼓勵 12/11 13:10
27F:→ tsai82118: 關機以後用Ubuntu Live CD啟動救資料 12/11 14:00
28F:推 frenzygod: 我下載下來後點開執行後就關機了,這樣表示中獎了嗎? 12/11 17:36
29F:推 agreerga: 樓上 你有把檔案放對位置嗎XD 12/11 17:51
30F:推 frenzygod: 謝謝樓上提醒!噓自己一下...就在上午中獎一台電腦後 12/11 18:10
31F:→ frenzygod: 已經被這vvv嚇死了 :( 12/11 18:11
32F:推 SSglamr: 1.jpg 學姐與學弟 12/11 20:13
33F:→ aria0520: XD 12/11 20:19
34F:推 mathrew: 結果漏掉這個 先加密別的檔案 XD 12/11 21:34
35F:推 mathrew: 剛試了 可以用 感謝 12/11 21:40
36F:推 ids93216: 其實我覺得這個不一定有用耶,萬一不是從C:\開始也沒用 12/11 22:13
37F:→ ids93216: 而且下完指令等他慢慢關機也加密得差不多了 12/11 22:13
38F:→ ids93216: 不過有心還是推一個 12/11 22:13
39F:推 LegendC: 請問有異況發生時先關機比較好還是先拔掉網路比較好? 12/11 23:05
40F:推 magiyan: 謝謝阿 12/11 23:13
41F:→ go1717: 樓上上 直接把電源關掉最快 12/12 00:03
42F:→ aria0520: 不會慢慢關機 應該是會馬上強迫關機 12/12 00:30
43F:→ aria0520: 總之就當做個停損點8 12/12 00:31
44F:推 blue901207: 請問開機自動執行是加入"關機"這個選項 指令碼vbs嗎3Q 12/14 18:21
45F:推 cak90253: 感謝 12/15 09:18
46F:推 junstock: 若加入開機啟動並不幸中標 會陷入開機、關機的迴圈嗎 12/15 14:31
47F:推 belion: 這應該惿關機後,拔硬碟到另一台備份尚未被加密的資料.. 12/15 14:37
48F:推 magiyan: 回樓上上,會。 12/15 22:23
49F:→ Moscato: 針對原PO的腳本,我小改寫了一下加入紀錄jpg檔被修改的功 12/16 08:22
50F:→ Moscato: 能,同時加入了對話方塊提醒使用者發現檔案已被變更,紀 12/16 08:22
51F:→ Moscato: 錄檔的位置會在目前使用者的我的文件資料夾下 名稱為 12/16 08:24
52F:→ Moscato: 已偵測對C:\1.jpg檔案的變更.txt 12/16 08:37
53F:→ Moscato: 請將偵測用的log_of_1.jpg.bat檔與jpg檔放置在C:\目錄下 12/16 08:38
54F:→ Moscato: 並下載我的vbs腳本取代原PO寫的 當然也可以右鍵看原始碼 12/16 08:38
55F:→ Moscato: 自己把那部份的程式碼移植過去 12/16 08:39
57F:→ Moscato: 不然電腦自己關機了還不知道為什麼 12/16 08:50
58F:→ Moscato: 修改了一下 取消從外部呼叫bat 避免找不到批次檔時無法繼 12/18 07:23
60F:推 chung74511: 這超有用 剛剛就發揮功效了= = 01/08 04:36