作者JeremyJoung (J.J.)
看板AntiVirus
標題[心得] 勒索病毒的行為特徵 以及自保方法
時間Mon May 15 02:20:57 2017
https://www.facebook.com/permalink.php?story_fbid=10209224702953961&id=1212795524
https://goo.gl/tkjJGX
根據大陸人的反解譯後歸納出一些特性
http://www.freebuf.com/articles/system/134578.html
根據文件的描述
勒索病毒會終止5種常見SQL service執行緒
mysqld.exe
sqlwriter.exe
sqlserver.exe
MSExchange
以及避開 幾個常見的系統路徑
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
這幾個動作相當合邏輯
因為要避免讓系統直接垮掉 以致無法付贖金
因此 產生了關鍵防護特徵
1. 在重要目錄上 附加上述路徑 偽裝成系統目錄
2. 創建同名虛假執行緒 並加以監聽 只要發現執行緒失效 馬上警示 並進行關機
這個概念類似1.bmp
在防護效果上
1 有可能可以透過病毒升級修改規則而防護失效
但是攻擊者就必須想出其他方法避開攻擊系統目錄
而2 就比較難取捨 服務名稱無法變動 除非攻擊者願意放棄攻擊SQL
1是普通人都可以做到的基本保護
2需要一點程式技巧 雖說不難 但也要花時間寫程式
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.72.102
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494786060.A.213.html
※ JeremyJoung:轉錄至看板 Gossiping 05/15 02:28
1F:推 siro0207: 第一個是把重要資料直接丟入那幾個系統資料夾裡面嗎? 05/15 02:57
2F:→ siro0207: 還是說我創個D:\windows 病毒就不會攻擊這資料夾? 05/15 02:59
3F:→ siro0207: 如果是這樣的話就表示病毒不看硬碟代號? 05/15 03:00
4F:→ JeremyJoung: 是的 就"目前"來看 只看目錄 不看磁碟 05/15 03:06
5F:→ JeremyJoung: 對了 大小寫是敏感的 要一字不差 05/15 03:06
7F:→ JeremyJoung: 上圖只是針對"這次"病毒的做法 這是對所有勒索都有效 05/15 03:18
8F:推 kelsy123123: 135埠也要!? 05/15 03:19
9F:推 michael00316: 我C碟底下的windows是小寫捏 這樣被攻擊就爆炸? 05/15 05:36
10F:推 stja: push 05/15 06:25
11F:推 fortunia: 推。順便請問個問題,如果我把D槽設成"我的文件",同時 05/15 07:56
12F:→ fortunia: 掛載在"Program Files"底下的空資料夾,就病毒執行的邏 05/15 07:56
13F:→ fortunia: 輯上會怎麼判定呢? 05/15 07:56
如果是D:\Program Files\Document
在這次的病毒中 理論上就不會受到攻擊
14F:推 wsx26997785: 不會的人還是別亂改 等等系統出錯無法開機 05/15 09:36
※ 編輯: JeremyJoung (118.163.72.102), 05/15/2017 12:23:33
15F:推 fujisawa: 推 05/15 12:38
16F:推 kenphin0729: 病毒應該是用環境變數,創個假的D:\windows應該沒用 05/15 19:16