電腦安全 - [心得]勒索病毒預防和救援簡單測試(Crypt0L0cker、CryptoWall、TeslaCrypt) - 電腦

前往內容


[心得]勒索病毒預防和救援簡單測試(Crypt0L0cker、CryptoWall、TeslaCrypt)

一、測試環境介紹

● 作業系統:Windows 7 Ultimate x86(VMware Workstation 12 Player)
● 使用者帳戶控制(UAC):系統預設值


● 系統還原與系統保護:開啟


二、測試項目介紹

① 拒絕資料夾寫入權限:拒絕資料夾寫入權限以協助檔案免於遭病毒變更或覆寫
● 透過指派 Administrators 拒絕資料夾寫入之權限,以防止勒索病毒藉由使用者或群組對某資料夾及其檔案執行變更或覆寫等特定之動作,來協助保護該資料夾。


② 隱藏磁碟機代號:暫時移除特定的磁碟機代號以協助保護檔案
● 在 Windows 系統中如果某個磁碟機沒有被分配到磁碟機代號的話,該磁碟機就無法被使用。故此方法並非單純隱藏磁碟機代號而已,更直接限制了磁碟機存取的功能。若要磁碟機恢復使用,只需於被隱藏的磁碟分割區上再新增一次磁碟機代號即可。



③ BitLocker 磁碟機加密:透過內建的 BitLocker 功能加密磁碟機以協助保護檔案
● 透過 BitLocker 磁碟機加密,需經過特定授權才能存取該磁碟機。BitLocker 磁碟機加密功能僅提供 Windows 7 企業版/旗艦版以上系統使用。該功能主要用於保護硬碟與卸除式磁碟機,避免因為遺失或遭竊而導致重要資料失竊或是被有心人士利用。


④ 系統還原救援:確保執行病毒前有可用之還原點,測試系統還原能否救回失去的檔案
● 系統還原可協助將電腦還原到較早的時間點,其中系統保護功能會定期建立及儲存電腦系統檔與用戶所修改之舊版檔案內容,並自動將這些副本儲存於還原點中;當檔案或資料夾不慎遭修改、刪除或損毀時,便可利用還原點還原至先前之檔案內容。


三、勒索病毒測試

壹、CryptoWall 4.0


● 中毒特徵:病毒執行後使用者帳戶控制(UAC)無警示;檔案若不幸遭加密,則檔案名稱連同副檔名皆變為隨機亂碼。

● 勒贖畫面:


拒絕資料夾寫入權限能否預防勒索病毒 CryptoWall 4.0?
● 拒絕資料夾寫入權限時資料夾內受測檔案於病毒執行後不受任何影響。

隱藏磁碟機代號能否預防勒索病毒 CryptoWall 4.0?
● 移除磁碟機代號之特定磁碟機於病毒執行後不受任何影響。

BitLocker 磁碟機加密能否預防勒索病毒 CryptoWall 4.0?
● 透過 BitLocker 加密保護之磁碟機於病毒執行後不受任何影響。

說明:使用 BitLocker 磁碟機加密保護狀態下(金色鎖頭)需經過授權才能存取該磁碟機,可以有效預防勒索病毒;但若病毒執行當下處於解除鎖定狀態(銀色鎖頭)則磁碟機內檔案仍會遭病毒加密。

系統還原能否救回失去的檔案?
● 於被加密檔案資料夾按右鍵點擊「還原舊版」,選擇還原點進行還原後,原始檔案順利還原成功。

說明:系統還原救得回來的不是被 RSA 加密演算法加密後的檔案,而是被病毒刪除的原始檔。勒索病毒加密過程大致上是 加密原始檔→刪除原始檔,為避免受害者以系統還原恢復失去的檔案,勒索病毒勢必將破壞系統快照備份。經實測若於手動關閉使用者帳戶控制(UAC)情況下執行 CryptoWall,先前建立之系統還原確實會遭其刪除。


貳、Crypt0L0cker


● 中毒特徵:病毒執行後會多次跳出使用者帳戶控制(UAC)詢問視窗,無論選擇允許與否,檔案皆會遭加密;但若選擇允許,則系統還原遭病毒刪除。檔案若不幸遭加密,則副檔名變為 .encrypted。

說明:由此得知,病毒加密行為這個動作並不會觸發使用者帳戶控制(UAC)。

● 勒贖畫面:


拒絕資料夾寫入權限能否預防勒索病毒 Crypt0L0cker?
● 拒絕資料夾寫入權限時資料夾內受測檔案於病毒執行後不受任何影響。

隱藏磁碟機代號能否預防勒索病毒 Crypt0L0cker?
● 移除磁碟機代號之特定磁碟機於病毒執行後不受任何影響。

BitLocker 磁碟機加密能否預防勒索病毒 Crypt0L0cker?
● 透過 BitLocker 加密保護之磁碟機於病毒執行後不受任何影響。

系統還原能否救回失去的檔案?
● 若使用者帳戶控制(UAC)詢問視窗選擇允許,則還原點將遭刪除而無法還原;若皆選擇否,試於被加密檔案資料夾按滑鼠右鍵點擊「還原舊版」,選擇還原點進行還原後,原始檔案順利還原成功。



參、TeslaCrypt 2.2.0


● 中毒特徵:病毒執行後會多次跳出使用者帳戶控制(UAC)詢問視窗,無論選擇允許與否,檔案皆會遭加密;但若選擇允許,則系統還原遭病毒刪除。檔案若不幸遭加密,則檔案副檔名變為 .vvv。

說明:由此得知,病毒加密行為這個動作並不會觸發使用者帳戶控制(UAC)。

● 勒贖畫面:


拒絕資料夾寫入權限能否預防勒索病毒 TeslaCrypt 2.2.0?
● 拒絕資料夾寫入權限時資料夾內受測檔案於病毒執行後不受任何影響。

隱藏磁碟機代號能否預防勒索病毒 TeslaCrypt 2.2.0?
● 移除磁碟機代號之特定磁碟機於病毒執行後不受任何影響。

BitLocker 磁碟機加密能否預防勒索病毒 TeslaCrypt 2.2.0?
● 透過 BitLocker 加密保護之磁碟機於病毒執行後不受任何影響。

系統還原能否救回失去的檔案?
● 若使用者帳戶控制(UAC)詢問視窗選擇允許,則還原點將遭刪除而無法還原;若皆選擇否,試於被加密檔案資料夾按滑鼠右鍵點擊「還原舊版」,選擇還原點進行還原後,原始檔案順利還原成功。


說明:勒索病毒有不少方法可以快速刪除系統還原和磁碟機現存的快照備份,其中最普遍的方式便是執行 “vssadmin.exe Delete Shadows /All /Quiet” 指令。由於這個程序需要管理員權限才能夠實際運行,因此使用者帳戶控制(UAC)會立即跳出權限存取的選項視窗。



四、結論與建議

● 由於勒索病毒種類、變種繁多,本測試結果不保證適用其他新的勒索病毒。

● 使用者帳戶控制(UAC)不被繞過的情況下,系統還原可以恢復遭勒索病毒刪除的原始檔案。因此建議儘可能每個磁碟機都開啟,因為通常重要的文件、影片和照片往往習慣放在系統槽以外的地方。

更新1:針對上述兩項結論,目前手邊有拿到一隻 TeslaCrypt(https://www.virustotal.com/zh-tw/file/..../analysis/1461483649/),執行後檔案被加密,且使用者帳戶控制(UAC)完全不會有警示,系統還原直接遭到刪除。將 Win7 使用者帳戶控制(UAC)調至最高後再執行病毒測試,然而系統還原還是遭到刪除,使用者帳戶控制(UAC)依舊無警示。

更新2:老實說我對這隻病毒還蠻在意的,於是又拿來 Win10 環境下測試,使用者帳戶控制(UAC)同樣是使用系統預設值,然而 Win10 的 UAC 攔截了。我不知道這可不可以用來說明 Win10 比 Win7 更安全,但就這次結論而言 Win7 的 UAC 確實被該病毒 bypass。

● 欲預防勒索病毒綁架特定檔案資料夾,拒絕資料夾寫入權限可以限制病毒變更或覆寫檔案之內容。

● 欲預防勒索病毒綁架特定磁碟機,移除磁碟機代號、BitLocker 磁碟機加密兩者皆可禁止病毒存取該磁碟機以協助保護檔案。

更新:給被 .ccc、.vvv 病毒加密的人:可以到下面網址按照內文說明回覆該主題,並提供被加密的檔案上傳至免空,會有好心的專業人士幫忙您解密。 TeslaCrypt (.VVV, .CCC, etc Files) Decryption Support Requests






PHIL Hou wrote:
測試環境:● 作業...(恕刪)



辛苦了

這病毒真的頗恐怖啊

可否幫忙測試一下,安裝comodo防火牆狀態下執行勒索病毒程式,HIPS主動防禦功能是否擋的了,謝謝。
勒索病毒 幾乎都是以常用的副檔名優先加密

比如 文件檔 照片檔 等等
因此遇到不常用 或 不認識的
就頂多改一下副檔名有的沒的

所以才會亂改的副檔名
之後再改回來時
都還能使用



Flash 該更新就更新、Java 能不安裝就不安裝 <~~ 說反了吧?

是 java 該更新就更新、Flash 能不安裝就不安裝
有些是利用 flash 漏洞、在廣告背後植入有的沒的程式碼
且 flash 的漏洞超多的..多到很多人都開始反應不要使用
該讓 flash 隨著歷史消失
大大真有心還做測試~辛苦啦

這種病毒軟體真的是好可怕啊

只能說平時應該要少上一些奇怪網站

然後防毒軟體要用好

nahaha wrote:
可否幫忙測試一下,...(恕刪)


這個我也想知道,

另外我更想知道如果,隱藏的資料夾和放在windows下的檔案會不會受影響

od2015 wrote:
大大真有心還做測試...(恕刪)


話說,上次同事中毒,我拿來看他瀏覽的紀錄,和他自己的說法...

都是在瀏覽正常的網站耶......没有看一些奇怪的網站..

PHIL Hou wrote:



四、結論與建議:
● 系統還原還是儘可能每個磁碟都開啟,因為通常重要的文件、影片和照片往往會習慣放在 D 槽等地方。且系統還原不僅是應付病毒,電腦有出什麼毛病時都可以用。
● 由於勒索病毒種類、變種繁多,本測試結果不適用其他任何勒索病毒。
● 即便測試中改變檔案副檔名為 .exe 偽裝看似有用,仍然不如異地備份來得保險。
● Flash 該更新就更新、Java 能不安裝就不安裝;推測這類勒索病毒的感染途徑應該還是以利用漏洞的網頁掛馬為主(不知道自己怎麼就中毒的了大多是這種)。



這個很重要,感謝詳盡的測試...
別人錯了,不等於你就對了。

數位貓爵 wrote:
這個很重要,感謝詳...(恕刪)
簽名

nahaha wrote:
可否幫忙測試一下,...(恕刪)


CryptoWall 這隻
卡飯那邊已經有人拿comodo hips測過~攔的下來

只要不要手賤自己放行........

1頁 (共8頁)

前往