※ [本文轉錄自 AntiVirus 看板 #1P6A0C8J ]
作者: JeremyJoung (J.J.) 看板: AntiVirus
標題: [心得] 勒索病毒的行為特徵 以及自保方法
時間: Mon May 15 02:20:57 2017
https://www.facebook.com/permalink.php?story_fbid=10209224702953961&id=1212795524
https://goo.gl/tkjJGX
根據大陸人的反解譯後歸納出一些特性
http://www.freebuf.com/articles/system/134578.html
根據文件的描述
勒索病毒會終止5種常見SQL service執行緒
mysqld.exe
sqlwriter.exe
sqlserver.exe
MSExchange
以及避開 幾個常見的系統路徑
\ProgramData
\Intel
\WINDOWS
\Program Files
\Program Files (x86)
\AppData\Local\Temp
\Local Settings\Temp
這幾個動作相當合邏輯
因為要避免讓系統直接垮掉 以致無法付贖金
因此 產生了關鍵防護特徵
1. 在重要目錄上 附加上述路徑 偽裝成系統目錄
2. 創建同名虛假執行緒 並加以監聽 只要發現執行緒失效 馬上警示 並進行關機
這個概念類似1.bmp
在防護效果上
1 有可能可以透過病毒升級修改規則而防護失效
但是攻擊者就必須想出其他方法避開攻擊系統目錄
而2 就比較難取捨 服務名稱無法變動 除非攻擊者願意放棄攻擊SQL
1是普通人都可以做到的基本保護
2需要一點程式技巧 雖說不難 但也要花時間寫程式