關於 勒索程式 的經驗 2015.10-2016-04


saber11 wrote:
稍微爬了一下WMIC...(恕刪)


這部分的確還有討論的空間

曾與同事討論過關於這一類惡意程式的啟動機制
1.點擊後連結後的一瞬間
2.點擊後程式後的下次重新啟動
3.固定的時間
4.點選某執行檔之後(例如這次的 WMIC.EXE 當引信)
...

相信目前大多數的防毒軟體都能掃得到這類的惡意程式
就算不斷出現包覆不同"糖衣"的版本
但大多數的惡意程式核心似乎都類似
只是勒贖的匯款帳號改過...
卡巴一類的偵測會出現 unknow ... 無完整"正名"的程式稱呼
防毒機制一般都還是有發揮作用 該檔的 該提醒的 都有出現
就怕您沒有注意到 或是 執意去打開炸彈!

有發現到部分 企業的員工 發揮小聰明
在較舊的電腦主機或是效能吃緊的主機
會將防毒"暫時關閉"以換取較多的效能
然後可能就中獎了...
貓.電腦.不思議

UFO_Alien wrote:
---------...(恕刪)


就像文中所提的

第一次親眼看到這程式其實有點莫名的興奮!

因為才剛重灌 裡面沒有重要資料
人的好奇心驅使! 反正最多再花點時間重新安裝就好!

可惜同事忘記他是到哪個網站下載驅動
不然就可以再試一次
確認後再分享給大家!... 應該說避免有人再去點擊
貓.電腦.不思議

Newman.Chen wrote:
這支WMIC是正常...(恕刪)


目前看到的機制 的確是會問過您並經過您的同意!

為何稱作是惡意程式而不是病毒... 就是因為需要您的同意(點擊)

不過經過您的提醒 我也想起來 出現 WMIC.EXE 時的狀況
並不是我去點擊這個程式
而是重開機後自行跳出的視窗

就像 #9樓 saber11 大大所說
...
WMIC.exe
這支應該是微軟正常的工具
檔案應該不是被經過偽造
只是被批次寫入執行了刪除陰影備份
和背後執行了其他的病毒
這招實在很陰險 用微軟工具來弄你
...

一些影音網站 例如: 嘟嘟...
如果真的要看免費的影片 在使用上 就要小心

跳出的不明視窗 不要隨便點右上角的X 關閉
可以試著改用 ALT+F4 關閉
因為曾發現假的圖形化的 X 背後是惡意連結
貓.電腦.不思議
用假mail()寄信是件容易的事
kyo6347 wrote:
這是上週 2016年...(恕刪)
除了卡巴斯基,現在很多防毒軟體也都可以偵測的到勒索病毒了
有的直接在郵件下載的同時直接把附加檔案移除
有的是使用者試圖開啟附加檔案的壓縮檔時會進行阻擋
當然,如果使用者還是這麼白目執意去開啟
那就願主保佑他了
kyo6347 wrote:
不過網路磁碟機 或是 NAS 這部分倒還沒見到災情......(恕刪)


我平時幾乎不來電腦安全這區逛

上星期最後一天上班日,學長公司的NAS中獎,打電話來求救,幫忙上網找資訊(因為SI廠商都休假)

怪的是,全公司目前知道的PC將近300多台,沒一台有問題,放在File Sever的擋案也沒問題(Server 2008 w AD)

反正有綁AD的設備都沒問題,唯獨沒有的NAS中獎....

可憐的學長...連假還要去公司收拾殘局...當MIS真辛苦...

所以不要說NAS沒有災情,只是你沒見到而已

不過它的運作原理應該跟PC平台不一樣

kyo6347 wrote:
目前看到的機制 的...(恕刪)


所以裝ABP擋廣告有用多了

不會去點到莫明的廣告連結

還有網路上本來就要有防衛性使用的習慣

到處都有陷阱跟假資訊

自己能判別也是必要的資訊素養

要看片就去伊莉至少安全多了


另外就算觀念很好的人可能還是會中招

這時候WINDOWS還原點就很好用了,直接還原到沒出問題時間點的電腦,可以當作急救技能

執行了不明的程式
中獎也還好
比較想知道的是網頁
有人說只是開啟網頁、什麼事都沒做就中了
是如何中的
是透過JAVA或FLASH的漏洞嗎?
以至於開啟網頁就自動下載執行程式嗎?
aleck1119 wrote:
有人說只是開啟網頁、什麼事都沒做就中了
是如何中的
是透過JAVA或FLASH的漏洞嗎?
以至於開啟網頁就自動下載執行程式嗎?...(恕刪)



這個問題我剛好有經驗可以回答你供參考(十幾年前一種MSN病毒,會讓CPU使用率100%)

有2種狀況:

狀況一:
系統的組件沒更新到最新修補安全性漏洞,例如:ActiveX、JAVA、Flash...,開啟惡意病毒網頁就直接執行Script,當然就中獎

狀況二:
系統的組件有更新到最新修補安全性漏洞,開啟惡意病毒網頁會出現XXX.js or XXX.exe or xxx.cmd...要不要執行??

Yes....當然就中獎

如果有裝有效的防毒軟體,狀況二可能連出現XXX要不要執行的訊息都沒有,直接被攔截

狀況一加上有效的防毒軟體會如何??不知道.....也不想試,系統組件(ActiveX、JAVA、Flash)安全更新要做就對了,不然移除掉不要用

kyo6347 wrote:
這部分的確還有討論...(恕刪)

跳出來的視窗應只是整個病毒包的某項行為被偵測到
其他的背景執行部分還是被滲透
不只Wmic.exe 網路上還有看到v開頭微軟工具同樣被拿來刪除備份
不執行只是讓災害沒有進一步擴大

網路上這些假網站也很危險
有時候也不免要上去找一些難找的檔案
搜尋引擎沒有落實舉報 把網站下架擋掉
也很容易搜尋到而誤入歧途啊
限制級
您即將進入之討論頁 需滿18歲 方可瀏覽。
提醒:內容可能因過於寫實、驚悚而令人感到不舒服,是否繼續觀看?

根據「電腦網路內容分級處理辦法」修正條文第六條第三款規定,已於該限制級網頁,依台灣網站分級推廣基金會規定作標示。
評分
複製連結