[心得] 勒索軟體隱藏磁碟機代號測試
作者: qxxrbull (XPEC) 2015-11-30 22:01:30
如題
之前我打了一篇#1MM50tcZ (AntiVirus)
"隱藏磁碟機代號是否能夠避免勒索軟體"
這一次找來了許多樣本
包括torrentlocker(crypt0l0cker) CTB-locker
cryptowall3.0(4.0樣本有人有嗎 我找不到) cryptoholder(這好像比較少見)
這一些樣本 來進行測試
這一次被測試的內容有doc docx xlsx jpg cpp wmv exe這一些
![]()
↑我們先將東西放進去那個等等要被隱藏的磁碟區內
![]()
↑接著將該磁碟區代號移除
![]()
↑接著,執行所有的病毒樣本
(執行過程 明顯感覺CPU風扇變大聲一些,但是其實不會很大聲)
在點擊時 我有開UAC 但是沒有跳出確認是否要執行的視窗 So...
有些是執行完畢後 原本的檔案就直接消失 有些則不會
![]()
↑過幾分鐘後 檔案開始被加密
![]()
↑並且會一直跳出有東西停止運作
![]()
↑重開機後 桌面由CTB-locker成功拿下
![]()
![]()
↑但大多數的東西還是由cryptowall3.0拿下(當然不排除一個檔案被多次加密了)
![]()
↑RAR ZIP 7Z通通被加密,但是應用程式.exe卻沒有
實際打開GPU-Z 確定正常可以開
![]()
↑強制打開都是亂碼
![]()
↑之後跳出這個 推測是勒索軟體想要砍掉磁碟區陰影複製 讓你無法還原
![]()
↑doc docx xlsx jpg cpp wmv通通被加密
不過自己寫的EXE似乎不會 或許是檔案太小
![]()
↑這時後使用百度雲查殺 清除感染,避免檔案再次被加密(隨便找一個來用的)
(PS 實際上請不要這樣搞 請去用PE來搞,防毒軟體不一定有用)
![]()
↑這時候恢復磁碟機代號,並打開
檔案似乎都沒被勒索到
![]()
↑試開看看 確定完全沒問題
(當然 在C槽以經被加密的檔案還是QQ了)
結論
這招目前看起來還是有效的
不過不確定在日後變種還會不會有效
最好的方法就是用其他硬碟備份 之後拔出來
有幾個好處
一就是這樣絕對不會被加密勒索
二就是如果你電腦的電源供應器出問題 把所有硬碟打壞 這樣就能避免了
話說有人可以提供給我 cryptowall4.0的樣本嗎
想要玩看看
之前我打了一篇#1MM50tcZ (AntiVirus)
"隱藏磁碟機代號是否能夠避免勒索軟體"
這一次找來了許多樣本
包括torrentlocker(crypt0l0cker) CTB-locker
cryptowall3.0(4.0樣本有人有嗎 我找不到) cryptoholder(這好像比較少見)
這一些樣本 來進行測試
這一次被測試的內容有doc docx xlsx jpg cpp wmv exe這一些
↑我們先將東西放進去那個等等要被隱藏的磁碟區內
↑接著將該磁碟區代號移除
↑接著,執行所有的病毒樣本
(執行過程 明顯感覺CPU風扇變大聲一些,但是其實不會很大聲)
在點擊時 我有開UAC 但是沒有跳出確認是否要執行的視窗 So...
有些是執行完畢後 原本的檔案就直接消失 有些則不會
↑過幾分鐘後 檔案開始被加密
↑並且會一直跳出有東西停止運作
↑重開機後 桌面由CTB-locker成功拿下
↑但大多數的東西還是由cryptowall3.0拿下(當然不排除一個檔案被多次加密了)
↑RAR ZIP 7Z通通被加密,但是應用程式.exe卻沒有
實際打開GPU-Z 確定正常可以開
↑強制打開都是亂碼
↑之後跳出這個 推測是勒索軟體想要砍掉磁碟區陰影複製 讓你無法還原
↑doc docx xlsx jpg cpp wmv通通被加密
不過自己寫的EXE似乎不會 或許是檔案太小
↑這時後使用百度雲查殺 清除感染,避免檔案再次被加密(隨便找一個來用的)
(PS 實際上請不要這樣搞 請去用PE來搞,防毒軟體不一定有用)
↑這時候恢復磁碟機代號,並打開
檔案似乎都沒被勒索到
↑試開看看 確定完全沒問題
(當然 在C槽以經被加密的檔案還是QQ了)
結論
這招目前看起來還是有效的
不過不確定在日後變種還會不會有效
最好的方法就是用其他硬碟備份 之後拔出來
有幾個好處
一就是這樣絕對不會被加密勒索
二就是如果你電腦的電源供應器出問題 把所有硬碟打壞 這樣就能避免了
話說有人可以提供給我 cryptowall4.0的樣本嗎
想要玩看看
作者: abram (科科) 2015-11-30 22:10:00
我是在裝置管理員把該硬碟disable掉 相當於就拔掉了停用
作者: abramtw (世界原來是如此耀眼啊) 2015-11-30 22:14:00
嗯嗯 特別是筆電多只有一顆硬碟 謝謝測試分享啦
作者: gamesame7711 (框框愛安安) 2015-11-30 23:28:00
實驗推
作者: Lavchi (拉維奇) 2015-11-30 23:49:00
讓我想到之前有一篇煉蠱的文章 XDDDDDDDDDDD
作者: Bellkna (柔弱氣質偽少女) 2015-12-01 06:03:00
推測試 另想問瀏覽器開隱私模式 會不會降低中這個的機率?
作者: fatstan (DPJ) 2015-12-01 06:59:00
推實驗精神
作者: abram (科科) 2015-12-01 08:19:00
隱私模式+flash 還是會中
作者: jiababue 2015-12-01 08:27:00
推一下練蠱的勇氣!樣本有找過對岸的kafan嗎?
作者: woow1225 (B.N) 2015-12-01 12:35:00
練蠱王
作者: abram (科科) 2015-12-01 14:04:00
總之 不要用flash+km player 大概要中也難了
作者: chang0206 (Eric Chang) 2015-12-01 14:15:00
到底跟KMP有啥關係啊= =
作者: changeagle (老鷹) 2015-12-01 14:24:00
跟KMP沒有絕對關係,我會中大概是駭客剛好藉Kmp更新包入侵電腦,這個毒來源還是很難
作者: squrar (無垠的天空) 2015-12-01 16:57:00
這是在系統管理者下使用uac再去試毒的情況下對吧?那想請q大試試如果在guest帳號下登入中毒是否有效uac本身並無法限制檔案存取,如果是用guest登入無法寫入檔案的話 病毒是否還能夠運作
作者: parislove3 (艾草糖) 2015-12-01 17:51:00
UAC本來就沒什麼作用.....
作者: tsai82118 (PeteR) 2015-12-01 22:13:00
改用Windows to Go設定唯讀算了…
作者: aqwerty (鄧麗君板成立) 2015-12-03 22:56:00
1F那個停用硬碟的方法 應該就不會中了吧?
作者: Norther 2015-12-04 00:33:00
要不要試試沙盤+HIPS?
作者: Cubelia (天空の夜明け) 2015-12-04 01:10:00
沙盤+1
作者: miamodo 2015-12-04 23:31:00
除非允許直接存取,否則沙盤內的病毒不會感染沙盤外的檔案
作者: wotupset (wotupset) 2015-12-10 06:48:00
煉蠱正夯 = =