Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
※ 引述《lmkkml (小羊~~~)》之銘言:
: 直接拿病毒來做實驗(先說一下這是在系統管理員帳戶底下測試的),創三個文件夾1~3,1號是勾選唯讀(這個唯讀是僅套用資料夾中的檔案)、2號是把 administrators 的寫入權限封死,勾選禁止寫入、3號是把自己的管理員帳戶只保留唯讀。分別是下面三張圖:
: http://i.imgur.com/XAbX5HN.png
: 執行病毒 UltraCrypter(.cryp1)後,1號資料夾陣亡如下圖,2、3號資料夾沒事。
: http://i.imgur.com/72eTrhO.png
: 2、3號資料夾換一隻強一點的病毒 Cerber 來試試看,3號資料夾陣亡,2號資料夾依然沒事。
: http://i.imgur.com/shE9eLQ.png
: 雖然2號存活了下來,不過它最大的問題並不在於勒索病毒攻擊,而是根本性的不方便。例如若嘗試把檔案放進去2號資料夾,會出現下圖,要放東西就得把禁寫勾勾取消掉。因此唯有在萬年不去存放檔案,只用來讀取的資料夾上才會建議這樣用,不然誰受得了。
: http://i.imgur.com/LRyrUYT.png
昨天開始著手寫了一支防護程式,原理和版上之前的VBS差不多
但 使用 FileSystemWatcher 監視,MD5比對等比較好的方法
,並自動在每個磁碟機建立監控檔
關機方法則採用 NTDLL 裡 快速強迫關機,並在下次開機時阻檔系統進入桌面
理論上中標時可以減少很多損失,預計明後天可以完成釋出第一版吧
目前缺少新的病毒樣本可以測試
不知版上大大或原PO 可否方便給我載點?
--
████ █ ★ ████ █ █ █
█ █ █ █ █ █ 超 級 熱 烈 歡 迎
█ ████ █ █ █ ████ █
█ █ █ █ ███★ █ █ 歡迎到嘉義版!
★███ █ █ █ █ █ █ █
訊馳電腦-路徑 → 嘉義市林森西路496號 →(05)2244-526 → 順發斜對面
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.94.76
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465230766.A.5A2.html
→
06/07 01:01, , 1F
06/07 01:01, 1F
→
06/07 01:15, , 2F
06/07 01:15, 2F
推
06/07 06:03, , 3F
06/07 06:03, 3F
推
06/07 08:30, , 4F
06/07 08:30, 4F
推
06/07 08:32, , 5F
06/07 08:32, 5F
推
06/07 09:39, , 6F
06/07 09:39, 6F
推
06/09 10:41, , 7F
06/09 10:41, 7F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 3 之 5 篇):