AntiVirus 板


LINE

※ 引述《GAMETYRANT ( 深水無痕 )》之銘言: : 好多年沒逛防毒版,過去靠著瘋狂等級的 comodo 護持 : 即使沒裝任何防毒程式,電腦這樣裸奔了多年也沒中過毒 : 但這波勒索病毒的災情確實怵目驚心 : 尤其這波病毒,專挑文件檔、多媒體檔這類容易被 HIPS 忽略的檔案下手 : 假設說,將特定磁碟機、特定資料夾、或特定檔案,改成唯讀狀態 : 不知有無辦法對抗這勒索病毒的背景加密行為? : ( 許多多媒體檔案,終其一生不會進行編輯,改成唯讀似乎有利無弊 ) 直接拿病毒來做實驗(先說一下這是在系統管理員帳戶底下測試的),創三個文件夾1~3,1號是勾選唯讀(這個唯讀是僅套用資料夾中的檔案)、2號是把 administrators 的寫入權限封死,勾選禁止寫入、3號是把自己的管理員帳戶只保留唯讀。分別是下面三張圖: http://i.imgur.com/XAbX5HN.png http://i.imgur.com/223Rmcp.png http://i.imgur.com/NXdFqGw.png 執行病毒 UltraCrypter(.cryp1)後,1號資料夾陣亡如下圖,2、3號資料夾沒事。 http://i.imgur.com/72eTrhO.png 2、3號資料夾換一隻強一點的病毒 Cerber 來試試看,3號資料夾陣亡,2號資料夾依然沒事。 http://i.imgur.com/shE9eLQ.png 雖然2號存活了下來,不過它最大的問題並不在於勒索病毒攻擊,而是根本性的不方便。例如若嘗試把檔案放進去2號資料夾,會出現下圖,要放東西就得把禁寫勾勾取消掉。因此唯有在萬年不去存放檔案,只用來讀取的資料夾上才會建議這樣用,不然誰受得了。 http://i.imgur.com/LRyrUYT.png -- Sent from my Windows --



※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.27.117
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1465201648.A.3A3.html
1F:推 l98: 有試驗有推 06/06 16:29
2F:推 s1s1: 有實驗有推,看來很適合用在多年累積的照片檔、音樂檔之類的 06/06 16:30
3F:推 vul354: 有實驗給推,感謝分享結果 06/06 16:33
4F:推 lisbonbon: 推一個,反正影音檔都這樣設定就好 06/06 16:40
5F:推 Kuansun: 推 06/06 16:45
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 16:49:47
6F:推 ptt1234567: 有測有推, 辛苦了 06/06 16:49
7F:推 jacklin2002: 請問中毒電腦工作管理員完全沒有異狀嗎? 06/06 17:05
8F:→ jacklin2002: 我是屬於那種工作管理員有幾隻程式在執行都一清二楚 06/06 17:05
9F:→ jacklin2002: 的人,所以想知道,完全無法從程序或服務這些東西看 06/06 17:06
10F:→ jacklin2002: 出端倪嗎?(還是中毒的人根本就不看這些) 06/06 17:06
當然有病毒在跑囉,不過中毒時要剛好開著工作管理員我想有難度吧。這些病毒最有感的 時候就是硬碟燈在猛閃的時候了,這時候發現中毒我覺得也加密的差不多了。
11F:→ yoyo80725: 有的會偽裝吧 06/06 17:12
12F:→ yoyo80725: 而且沒這麼常看 通常看到發現也差不多死了 06/06 17:13
13F:→ brianuser: 又不可能隨時都在監看,何況有些是利用系統程式在作怪 06/06 17:13
14F:→ brianuser: 多一兩個 svchost explorer rundll32 很難及時注意到 06/06 17:14
15F:推 jacklin2002: 以我例子,svchost就是固定11隻,電腦在剛啟動好狀態 06/06 17:16
16F:推 mars1985: 哈哈哈。 06/06 17:17
17F:→ jacklin2002: 程序就是54,不多不少剛剛好,我只是在想,覺得奇怪 06/06 17:17
18F:→ jacklin2002: 的時候就看一下,發現異狀就強制程序執行終止,也許 06/06 17:18
19F:→ jacklin2002: 是可以降低災害的措施? 06/06 17:18
20F:推 weichen5566: 設定權限當然可以防止,但是一般電腦設定權限不方便 06/06 17:26
21F:推 blackwindy: 誰沒事會盯著程序看阿...而且直接拔電源線快多了 06/06 17:27
22F:→ weichen5566: 可以裝一台NAS,每次備份就是要登入才能傳也安全 06/06 17:28
23F:→ bluewinston: svchost 別亂關 有些系統會調用 來說說我 06/06 17:29
24F:→ bluewinston: 看過舊版加密中毒過程 恐怖在出現不到一 06/06 17:29
25F:→ bluewinston: 秒就隱藏本身進程 執行中cpu使用率完全正 06/06 17:29
26F:→ bluewinston: 常不會飄高 完全不會發覺 非常陰險 現在 06/06 17:29
27F:→ bluewinston: 大家電腦都很好還ssd 只能多加備份 唯一 06/06 17:29
28F:→ bluewinston: 解 06/06 17:29
29F:→ jacklin2002: 不用一直盯著看啊...覺得奇怪就Ctrl+Alt+Del一下很難 06/06 17:30
30F:→ jacklin2002: 嗎...? 06/06 17:30
31F:→ HELLDIVER: 硬碟現在也不貴 做個系統完整備份不花太多錢的 06/06 17:30
32F:推 jacklin2002: 查過資料了,工作管理員內的程序不能被隱藏的,最多 06/06 17:56
33F:→ jacklin2002: 就是改名而已,所以平常多關心自己電腦,有沒有多出 06/06 17:57
34F:→ jacklin2002: 什麼奇怪的執行程序吧。 06/06 17:58
35F:→ tsukiyo99: jacklin大大 你知道被加密的時候工作管理員和cmd都開不 06/06 17:59
36F:→ tsukiyo99: 起來嗎XD 06/06 17:59
37F:→ jacklin2002: 我就是沒中所以我才問啊...囧> 要不然我超想實驗看看 06/06 18:00
38F:→ yoyo80725: 就像我講的...當你覺得奇怪的時候你已經死了 06/06 18:00
39F:→ jacklin2002: 而且如果被加密工作管理員就不能開,那更好認了,只 06/06 18:00
40F:→ jacklin2002: 要發現打不開就立即關機,也好過全部被鎖完跳勒索畫 06/06 18:01
41F:→ jacklin2002: 面吧。 06/06 18:01
42F:推 aglet: 那SYSTEM的權限需要修改嗎 06/06 18:02
SYSTEM部分我完全沒去動它。
43F:→ blackwindy: 當你覺得奇怪的時候應該是直接關機而不是在那邊找吧 06/06 18:07
44F:→ blackwindy: 現在名子都是用常見的 例如svchost or explorer 06/06 18:08
45F:→ blackwindy: 另外工作管理員內的程序還是可以隱藏的 你資料是哪來? 06/06 18:09
46F:→ bluewinston: 之前看到影片的 只出現不到一秒就隱身了 06/06 18:13
47F:→ bluewinston: 排列是 使用率 真的就不見了也沒偽裝 06/06 18:13
48F:推 jacklin2002: 可以用工作管理員或cmd下指令顯示所有處理程序,所以 06/06 18:18
49F:推 abramtw: 平時2號設定 要放檔案才解除 放完再2號怎樣呢? 06/06 18:19
是這樣沒錯呀,就當作那種要輸入密碼才能打開的資料夾,但是如果常常要開開關關就是 看每個人的接受度了吧。
50F:→ jacklin2002: 隱藏沒有用,所以tsukiyo99說的應該就是了,直接封鎖 06/06 18:19
51F:→ jacklin2002: 不讓你開啟指令集,更狠.... 06/06 18:20
52F:→ tsukiyo99: 加密軟體的CPU使用效能不會很高 而是disk高 因為都在IO 06/06 18:23
53F:→ yoyo80725: 看到硬碟燈瘋狂閃就差不多是了 06/06 18:28
54F:→ bluewinston: 他是測試 加密前就開了 管理 點病毒執行 06/06 18:31
55F:→ bluewinston: 我也不相信啊 因為我也會監看管理員的 06/06 18:31
56F:推 kenick: 推lmk大實驗 06/06 18:40
57F:推 GAMETYRANT: 感謝lmk大的詳細試驗,看來單純的唯讀果然還是不夠... 06/06 18:42
58F:→ mayuyu: 可以隱藏自身進程 只要hook枚舉進程的api 06/06 19:07
59F:→ mayuyu: 然後移除想要隱藏的進程就可以了 工作管理員看不到的 06/06 19:08
60F:→ mayuyu: 還有一些木馬會利用遠程注入的方法 06/06 19:08
61F:→ mayuyu: 把要執行的代碼放進其他系統程序裡面去執行 06/06 19:08
62F:→ mayuyu: 注入以後就可以把自己的進程給殺掉了 出現閃一下就不見了 06/06 19:08
63F:→ mayuyu: 有些是寫成dll讓系統在啟動時加載 不會看到處理程序 06/06 19:08
64F:→ mayuyu: 有些是替換掉系統正常的服務 從服務列表也看不出來 06/06 19:09
65F:→ mayuyu: 有些是直接裝到內核級的驅動 隨便它想要怎麼修改 06/06 19:09
66F:→ mayuyu: 顯示給用戶層看的結果就怎麼修改 一般程式根本看不到它的 06/06 19:09
67F:→ mayuyu: 存在 除非你也使用內核級的檢測工具 06/06 19:09
68F:→ mayuyu: 而且加載的優先權還要高於木馬的rootkit 06/06 19:09
69F:推 mayuyu: 請問l大,如果創建一個新的系統管理員帳戶, 06/06 19:13
70F:→ mayuyu: 將目前的帳戶轉為一般使用者,然後限制這個使用者 06/06 19:13
71F:→ mayuyu: 的訪問權限(也就是你推薦的方法一), 06/06 19:13
72F:→ mayuyu: 這樣可以擋住這二個病毒嗎? 06/06 19:13
73F:→ mayuyu: 如果可以,用你的方法一在使用上應該比較方便 06/06 19:13
Cerber在管理員帳戶底下會要求提權(UAC彈出),同意了就是文中3號資料夾的死法,若按 「否」就會很煩的一直彈。而在使用者帳戶底下Cerber不會觸發UAC,很單純執行加密,因 此只要沒寫入權限就可以擋下。UltraCrypter視同CryptXXX,目前這一系列就算要求提權 也只是要刪除磁碟區陰影複製而已。
74F:推 abcccbbs: -------------樓下使用方法2設定D槽影片中------------- 06/06 20:23
75F:推 srewq: 哈 我的確是在用方法2設定D槽中 一些幾年來拍的照片跟影片 06/06 21:17
76F:→ srewq: 畢竟久久才會去新增更動一次 不礙事 06/06 21:17
77F:推 GAMETYRANT: 改資料夾權限應該是目前最輕鬆的防堵方式了 06/06 22:14
78F:→ GAMETYRANT: 不過當用戶已受感染且不知情(不知病毒已作動)前提下 06/06 22:14
79F:→ GAMETYRANT: 雖然透過資料夾權限,可以擋死病毒的侵害行為 06/06 22:15
80F:→ GAMETYRANT: 但未來新增檔案,打開資料夾權限時,仍有風險再被加密 06/06 22:15
81F:→ GAMETYRANT: 因無法得知病毒母體是否已自殺,或已停止繼續加密 06/06 22:15
82F:→ GAMETYRANT: 因此建議在該磁碟或它磁碟根目錄下放幾張不重要的 06/06 22:16
83F:→ GAMETYRANT: 圖片當誘餌,作為判別電腦是否受感染的暫時判斷法.. 06/06 22:16
84F:推 mathrew: 個人認為,把平常沒在用的重要檔案 例如多年來的照片 06/06 22:26
85F:→ mathrew: 你平時不會去看嘛,直接丟在一顆硬碟,然後把那顆硬碟 06/06 22:27
86F:→ mathrew: 設定離線,真的有需要用時,再設定回連線 06/06 22:27
87F:→ mathrew: 改權限目前可以擋,但是哪天駭客來個漏洞修改權限+勒索 06/06 22:28
88F:→ mathrew: 就.............. 06/06 22:29
89F:→ HELLDIVER: 現在隨身碟都有64G甚至更高了 內接硬碟也才2K 06/06 22:31
90F:→ HELLDIVER: 這麼大費周章 還不如乾脆另外備份比較快 06/06 22:32
91F:推 abram: BIOS裡把某硬碟disable 這樣怎麼修改權限都不可能傷害到了 06/06 22:32
92F:→ abram: 連硬碟都不可能被抓到了... 06/06 22:33
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 23:33:50
93F:推 vobor: 我覺得離線這招更有效耶,不過病毒可以偵測離線硬碟並且把 06/06 23:15
94F:→ vobor: 他修改回連線然後開始加密嗎? 06/06 23:15
95F:推 abram: BIOS離線就不可能 非BIOS的離線也很難 除非UAC完全關閉 06/06 23:17
96F:→ mayuyu: 也就是說方法一都有效對不對? 如果都有效,方法一好像 06/07 00:20
97F:→ mayuyu: 比較方便 06/07 00:21
回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯, 但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加 密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
98F:推 vobor: 方法ㄧ不就是最快被破解的那個嗎.. 06/07 01:10
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 01:47:07
99F:推 vobor: 瞭解 06/07 03:16
100F:推 vobor: l大我還想到一個方法,如果讓資料碟在沒有使用的時候離線, 06/07 03:18
101F:→ vobor: 並且把UAC層級拉到最高,這樣資料碟的資料應該就可以免受 06/07 03:18
102F:→ vobor: 威脅了吧? 06/07 03:18
103F:→ vobor: 因為開啟磁碟管理會觸發最嚴格的UAC,當然別去按是就好了 06/07 03:18
104F:→ vobor: 是說這類的病毒會去偵測離線的硬碟並且讓他恢復連線嗎? 06/07 03:20
我不認為病毒有辦法做到恢復連線,離線/連線交互使用磁碟機本身我覺得就是很棒的方 法囉,重點放在連線時小心使用這樣子。
105F:→ louis925: 感覺應該要設計一個特大號的硬碟讀寫燈放在桌上 06/07 05:50
106F:→ louis925: 只要有大量讀寫,燈狂閃的時候,就注意一下 06/07 05:50
哈哈,桌面永久常駐工作管理員也是可以啦.... ※ 編輯: lmkkml (1.175.27.117), 06/07/2016 11:18:52
107F:→ louis925: 工作管理員會耗CPU啊~~ 06/08 04:25
108F:推 gamesame7711: 06/08 07:11







like.gif 您可能會有興趣的文章
icon.png[問題/行為] 貓晚上進房間會不會有憋尿問題
icon.pngRe: [閒聊] 選了錯誤的女孩成為魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一張
icon.png[心得] EMS高領長版毛衣.墨小樓MC1002
icon.png[分享] 丹龍隔熱紙GE55+33+22
icon.png[問題] 清洗洗衣機
icon.png[尋物] 窗台下的空間
icon.png[閒聊] 双極の女神1 木魔爵
icon.png[售車] 新竹 1997 march 1297cc 白色 四門
icon.png[討論] 能從照片感受到攝影者心情嗎
icon.png[狂賀] 賀賀賀賀 賀!島村卯月!總選舉NO.1
icon.png[難過] 羨慕白皮膚的女生
icon.png閱讀文章
icon.png[黑特]
icon.png[問題] SBK S1安裝於安全帽位置
icon.png[分享] 舊woo100絕版開箱!!
icon.pngRe: [無言] 關於小包衛生紙
icon.png[開箱] E5-2683V3 RX480Strix 快睿C1 簡單測試
icon.png[心得] 蒼の海賊龍 地獄 執行者16PT
icon.png[售車] 1999年Virage iO 1.8EXi
icon.png[心得] 挑戰33 LV10 獅子座pt solo
icon.png[閒聊] 手把手教你不被桶之新手主購教學
icon.png[分享] Civic Type R 量產版官方照無預警流出
icon.png[售車] Golf 4 2.0 銀色 自排
icon.png[出售] Graco提籃汽座(有底座)2000元誠可議
icon.png[問題] 請問補牙材質掉了還能再補嗎?(台中半年內
icon.png[問題] 44th 單曲 生寫竟然都給重複的啊啊!
icon.png[心得] 華南紅卡/icash 核卡
icon.png[問題] 拔牙矯正這樣正常嗎
icon.png[贈送] 老莫高業 初業 102年版
icon.png[情報] 三大行動支付 本季掀戰火
icon.png[寶寶] 博客來Amos水蠟筆5/1特價五折
icon.pngRe: [心得] 新鮮人一些面試分享
icon.png[心得] 蒼の海賊龍 地獄 麒麟25PT
icon.pngRe: [閒聊] (君の名は。雷慎入) 君名二創漫畫翻譯
icon.pngRe: [閒聊] OGN中場影片:失蹤人口局 (英文字幕)
icon.png[問題] 台灣大哥大4G訊號差
icon.png[出售] [全國]全新千尋侘草LED燈, 水草

請輸入看板名稱,例如:Boy-Girl站內搜尋

TOP