Re: [心得] 勒索病毒對策:簡易監控小腳本 orze04 PTT批踢踢實業坊

Re: [心得] 勒索病毒對策:簡易監控小腳本

作者: orze04 (orz) 2015-12-11 14:07:07

檔案位置
https://drive.google.com/open?id=0B7TH0pBsVfD4TUROdWZVd2o2QzA
使用說明
(1)在C:底下創立資料夾!test
(2)在C:\!test底下創立以下檔案，不要空白檔
1.jpg
1.pdf
1.xlsx
1.pptx
1.docx
1.txt
(3)再次確認上述六個檔案存在
(4)點選monitor2.vbs
增加功能：
1. 多偵測txt, pdf，office系列檔案
2. F槽也放一份shutdown.exe(未來才會用到）
未來可能要增加的功能
1. shutdown.exe 找不到或無法執行的例外處理
2. 檢查檔案hash值
以下是source code
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
WScript.Echo "WARNING! Please copy the file C:\Windows\System32\shutdown.exe
to F:\shutdown.exe"
WScript.Echo "WARNING! Please check these file existed C:\1.jpg, C:\1.pdf,
C:\1.xlsx, C:\1.pptx, C:\1.docx, C:\1.txt"
Set fso = CreateObject("Scripting.FileSystemObject")
Set ws = CreateObject("Wscript.Shell")
Dim honeypotLoca(6)
honeypotLoca(0) = "C:\!test\1.jpg"
honeypotLoca(1) = "C:\!test\1.pdf"
honeypotLoca(2) = "C:\!test\1.xlsx"
honeypotLoca(3) = "C:\!test\1.pptx"
honeypotLoca(4) = "C:\!test\1.docx"
honeypotLoca(5) = "C:\!test\1.txt"
'check exist
Dim b(6)
Do
For count = 0 To 5
If Not fso.FileExists(honeypotLoca(count)) Then
ws.run "shutdown.exe -s -f -t 0" ,vbhide
ws.run "cmd /c F:\shutdown.exe -s -f -t 0" ,vbhide
End If
Next
wscript.sleep 15000
Loop
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
honeypotLoca陣列裡路徑可以自己調整
我是猜他會C

作者: whitefox (å…«åè¬å®šå˜å®…ç”·) 2015-12-11 14:35:00

胬胬胬胬

作者: orze04 (orz) 2015-12-11 14:41:00

那應該是tab啦代換成四個space

作者: abramtw (世界原來是如此耀眼啊) 2015-12-11 16:25:00

用心給推

作者: jackyT (Ubuntu5566) 2015-12-11 20:28:00

用心+備份shutdown給推

作者: yehmd (牧葉德國隊加油) 2015-12-12 09:47:00

這篇改後的do loop的地方好像錯了...b參數群沒給初始值好像也會無效...

作者: orze04 (orz) 2015-12-12 14:10:00

我換一個寫法好了

作者: skill1095 (skill1095) 2015-12-13 02:24:00

推

繼續閱讀

[問題] McAfee 請問如何修正註冊時間?jodococo 檔案變成vvv檔smallha Re: [閒聊] 有任何有關聯合新聞網DDOS攻擊的資訊嗎？redbug2 [情報] Adobe Flash Player 升級了 20.0.0.235abram [求救] chrome 新型態綁架 crxbrosteven8411 [閒聊] 有任何有關聯合新聞網DDOS攻擊的資訊嗎？redbug2 [請益] 徵求2組卡巴序號(KIS五裝置3年)waterfrog302 Re: [求救] 被 CRYpt0L0cker 綁架kax0205 Re: [問題] 當今有效能阻擋勒索病毒的條件？VOT1077 Re: [問題] 當今有效能阻擋勒索病毒的條件？st20511