※ 引述《s11924 (陷阱金屬小妹)》之銘言： : 小妹資安的報告主題是勒索病毒啦 所以最近在大量的找資料 : 版上看了一輪 很多推文都直接說沒救了 但有些說要先拔網路線 為什麼阿？ : 就我目前的認知 勒索病毒有幾種方法 1.直接加密你的檔案 這次加密後的檔案查看建立時間與原檔案一樣， 修改時間則是變成.lck當下的時間 所以救援軟體可能沒辦法解決 : 2. 先刪除你的檔案 在做一個假的加密檔 : 3. 直接把妳的檔案抓到他的硬碟 再刪光 : 當然還有分加密型和非加密型啦 : 那這真的是無解的 只能預防？ 網路上的破解軟體 是不是其實都是用暴力解密？ 這次加密的確採RSA2048， 每個磁碟完成加密後會丟下一個txt的聯絡Email與RSA2048的加密內容， 而不是像之前會出現一隻小程式開啟小視窗； 從早期釣魚信件單純感染該台電腦硬碟、網路磁碟、外接硬碟， 後來從網路隨機亂打鳥方式攻Windows SMB漏洞， 到現在硬體接觸式(任何USB媒介)或釣魚後偽裝等取得權限， 再透過群組原則或工作排程等方式進行統一時間發作， 只要有用網域的單位，就得小心， 同時也挑戰防毒的抵擋能力， 以趨勢Officescan來講，病毒碼15.849之後版本才能偵測到； 拔網路線的確就是避免擴大、斷NAS， 關機的話加密到一半，沒有完成整個磁碟槽加密不會產生談判的txt檔案； 最後來講這次加密仍然躲過的檔案類型， 例如.dll、.msi這種都沒事， 所以如果硬碟空間夠大， 可以考慮手動將重要的資料弄成壓縮檔，把副檔名改成以上檔案類型； 如果有用NAS，可以考慮改\\方式連線， 不要掛網路磁碟機； NAS本身有些提供整機備份、異機還原的功能也建議定期去備份。 推 s11924: 改副檔名有用嗎？ 病毒會查標頭吧 → KyA: 這次是攻副檔名 D槽內有.dll逃過一劫 推 pipishan: @Kya 你是說這次中油的這隻改dll有閃過嗎？ → dennisxkimo: 微軟內建防毒功能 Controlled folder access 推 tswu8: NAS上能限制使用者採//連線嗎？ --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.136.42.250 (臺灣) ※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1588775729.A.4A5.html