討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆
fallagent
fallagent
76分
樓主
fallagent
fallagent
個人積分:76分
文章編號:59905635

請問一個勒索病毒的中毒後的掃毒觀念

  • 2016-04-19 10:12
  • 21771
看了這麼多先進發表的心得,小弟有些疑問

目前種中毒的步驟是 1.先用PC上的漏洞將種植木馬程式 2.木馬程式下載資料加密程式 3.加密程式自動背景執行

請問一下
1.步驟 2和3 是無法被防毒軟體所發現,是這樣的嗎?
2.假如2和3真的無法被發現,資料備份時是不是連加密程式一起備份,因為加密時間不是中毒時馬上就執行,所以完全不知道加密程式是不是一起被備份了,連復原要到哪個時間點也無法判定
3.假如真的無法發現加密程式,之後加密程式是會再次執行,還是只要人不執行就沒事?


不知道各位有沒有相關的資料可以分享一下
2016-04-19 10:12 #1
文章關鍵字
勒索病毒 掃毒觀念 中毒
法客
法客
40532分
2樓
法客
法客
個人積分:40532分
文章編號:59906187

fallagent wrote:
看了這麼多先進發表...(恕刪)


有時候不會有木馬

一按執行就開始加密檔案
23,1同時執行
措手不及的


因為是你自己同意這類批次執行的程序
換個名字或方式
幾乎防毒軟體很難判斷是你的工作還是惡意程式

所以還是別亂按郵件內附件或是亂執行啥影片播放器之類的鬼程式
或是在不關緊要的電腦玩就好
重要電腦少碰這些地雷
不回應底下小留言、廢文及討戰文
2016-04-19 10:50 #2
smash15
smash15
1881分
3樓
smash15
smash15
個人積分:1881分
文章編號:59906317

fallagent wrote:
看了這麼多先進發表...(恕刪)


先回答
2..... 木馬程式不需下載資料。若要下載的話? 他們的伺服器,接檔案會多到爆! 加密程式是直接在你的檔案加密!

3. 不用背景執行,當你發現時,你的所有檔案都已被加密,除了唯讀檔!

1. 個人覺得補漏洞不一定有用! 但之前,有測試一次,微軟的防毒程式有阻攔到。
2016-04-19 10:59 #3
fallagent
fallagent
76分
樓主
fallagent
fallagent
個人積分:76分
文章編號:59906702
To 法客:

假如123 會同時執行,這樣最簡單,防毒軟體有擋住就是安全的

我擔心是檔案有備份,也把加密程式也當正常檔案備份那可就是個不定時炸彈


to smash15

我想你誤會我的意思了,我猜測 2.的步驟 是要透過漏洞下載一個不是病毒的加密程式到PC,PC就算斷網也是可以會加密所有檔案

同樣,假如加密程式無法被掃毒程式所掃到,那各位前輩所建議的用外接設備作備份,同時也會把加密程式給備份進去,不就糟了


2016-04-19 11:22 #4
肚子三層非一日之饞
肚子三層非一日之饞
1578分
5樓
肚子三層非一日之饞
肚子三層非一日之饞
個人積分:1578分
文章編號:59906881

smash15 wrote:
先回答
2..... 木馬程式不需下載資料。若要下載的話? 他們的伺服器,接檔案會多到爆! 加密程式是直接在你的檔案加密!


抱歉

很多木馬和漏洞攻擊為了攻擊速度,都是DNS引導+背景下載資料(包括加密程式)的

很多木馬甚至會自己更新版本歐~

木馬程式本體很小,不用擔心伺服器的流量,反正伺服器大多也是被害的跳板
(應該沒有病毒作者會笨到直接連自己的伺服器,暴露IP等著警察抓嗎?)
2016-04-19 11:34 #5
肚子三層非一日之饞
肚子三層非一日之饞
1578分
6樓
肚子三層非一日之饞
肚子三層非一日之饞
個人積分:1578分
文章編號:59906972
fallagent wrote:
同樣,假如加密程式無法被掃毒程式所掃到,那各位前輩所建議的用外接設備作備份,同時也會把加密程式給備份進去,不就糟了


網路下載的惡意程式,第一時間只會在瀏覽器的TEMP檔案夾裡面,之後就看病毒作者有沒有刻意讓它隱藏到哪裡

大多數會躲在C碟系統檔案夾,不會躲在一般資料夾,所以備份資料是安全的
(目前只有隨身碟病毒,因為利用AUTORUN,才會躲在磁碟機根目錄)

就算躲在正常的資料夾裡面,
只要你不去執行(滑鼠點下去啟動),檔案也不會自動執行,跟垃圾檔案一樣直接刪除就好
2016-04-19 11:40 #6
smash15
smash15
1881分
7樓
smash15
smash15
個人積分:1881分
文章編號:59907044
肚子三層非一日之饞 wrote:
抱歉很多木馬和漏洞...(恕刪)


想太多了! 勒索病毒的目的是要錢。它必須保留加密檔的路徑,提供解密程式時才能找回目標。所以應該會以網頁腳本(script)執行! 嚴格說起來,這種病毒應該不算是木馬...

以上只是個人淺見!
2016-04-19 11:44 #7
fallagent
fallagent
76分
樓主
fallagent
fallagent
個人積分:76分
文章編號:59908164

肚子三層非一日之饞 wrote:
網路下載的惡意程式...(恕刪)


所以這種 惡意的加密程式 也是以執行檔的方式存在,而且是可被備份
但是不執行這個執行檔就不會有問題。

我的理解對嗎?


2016-04-19 13:08 #8
smash15
smash15
1881分
9樓
smash15
smash15
個人積分:1881分
文章編號:59908275

fallagent wrote:
所以這種 惡意的加...(恕刪)


觀念大錯特錯! 勒索病毒不會管你有沒有執行。你到了它的地盤(網頁),就會中!
2016-04-19 13:18 #9
雙面浪人
雙面浪人
8751分
10樓
雙面浪人
雙面浪人
個人積分:8751分
文章編號:59908298
以前看過一個,是玩flash小遊戲
然後點點點....就把自己電腦裡面某些權限開起來了
那個小遊戲是開攝影機...

所以以為沒有執行,其實是執行了
只能說良好的使用習慣很重要
csi cyber多看幾集會比較有概念
2016-04-19 13:19 #10
我要回覆

小惡魔廣編特輯

Toyota bZ4X性能與續航力全面升級、質感與配備同時進化,最值得入手的超值進口純電休旅!
[12月] Mobile01會員獨享丨年度最終賞!Apple AirPods Pro 3 夢幻降臨!
MSI Katana 15 / Katana 17 揮舞效能之刃,開啟電競新戰場!
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!