作者chung74511 (迷惘)
看板AntiVirus
標題[問題] 請問這波勒索用之前的監控程式有用嗎?
時間Mon Jun 6 01:13:19 2016
如題
最近聽說又有大規模勒索病毒的受害者
而且很多人好像甚至不知道是怎麼中的
所以想問一下
之前不是有個強者寫了一個監控小程式放在C槽下面
一旦監控的檔被改名字就會自動關機
這程式當初救了我兩三次
覺得超級好用的
這次的病毒應該也是改附檔名
所以這程式應該還是能用吧?
還是說這次的變種是可以繞過這監控程式的呢@@?
請大家幫解惑一下~謝謝
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.237.32.110
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1465146802.A.243.html
※ 編輯: chung74511 (36.237.32.110), 06/06/2016 01:13:35
1F:推 sunhad: 分享一下程式 06/06 01:22
2F:→ gsm60kimo: 要問yoyo大叔 06/06 01:26
3F:推 Argent: 正常來說病毒加密都來不及了 不可能去理這個臺灣幾隻小貓 06/06 01:36
4F:→ Argent: 特別拿來防範的小程式(無惡意,純粹以他們的角度@@) 06/06 01:37
6F:→ PTTCEO: 目前看來覺得這一招蠻不錯的 應該是頗簡單有效 06/06 01:46
7F:→ PTTCEO: 有人提到加密從桌面開始 或者可能會不加密特定檔案 06/06 01:46
8F:→ chung74511: 這個程式可以在中毒沒多久就強制關機 06/06 01:46
9F:→ PTTCEO: 大不了修改vbs加上各式各樣的檔案 加上桌面跟各磁區的檢查 06/06 01:47
10F:→ chung74511: 可以有效減少損失(之前大概頂多損幾十個檔以內 06/06 01:47
11F:→ chung74511: 他不能防毒 但可以讓你知道中獎了 06/06 01:48
12F:→ gsm60kimo: 不知將Windows Script Host 工具停用 是否可有效防堵~ 06/06 01:48
13F:→ PTTCEO: WHS只能針對是由.js發動的 06/06 01:49
14F:→ chung74511: 如果vbs有效的話 這應該比任何防毒都好用 06/06 01:50
15F:→ PTTCEO: 是說目前的腳本只檢查檔案在不在 及有沒有被改名 06/06 01:52
16F:→ PTTCEO: 如果之後跑出一隻變種只加密不幫你改副檔名 就偵測不到了 06/06 01:52
17F:→ PTTCEO: 要等O大出檢查檔案hash值的版本 06/06 01:53
18F:→ chung74511: 目前看起來加密好像都會改名 所以應該是還能用對吧~ 06/06 02:03
19F:→ chung74511: 順便問一下hash值是啥東西~ 06/06 02:04
20F:→ PTTCEO: 目前看起來是這樣 所以應該都還是可以有效止血的 06/06 02:10
21F:→ PTTCEO: 雜湊值 有點複雜 簡單說你可以先算出原本檔案的hash值 06/06 02:10
22F:→ PTTCEO: 一但檔案被改過 再算他的hash值會跟原本不一樣 06/06 02:11
23F:→ PTTCEO: 比對不一樣就知道檔案被動過 06/06 02:11
24F:→ louis925: 也許可以不用到算hash值 06/06 03:46
25F:→ dennisxkimo: 寫常駐程式偵測預警目錄 不用查hash 因不會去改檔案 06/06 10:07