請問一個勒索病毒的中毒後的掃毒觀念

fallagent
個人積分：76分
文章編號：59905635

76分

樓主

2016-04-19 10:12

看了這麼多先進發表的心得，小弟有些疑問

目前種中毒的步驟是 1.先用PC上的漏洞將種植木馬程式 2.木馬程式下載資料加密程式 3.加密程式自動背景執行

請問一下
1.步驟 2和3 是無法被防毒軟體所發現，是這樣的嗎?
2.假如2和3真的無法被發現，資料備份時是不是連加密程式一起備份，因為加密時間不是中毒時馬上就執行，所以完全不知道加密程式是不是一起被備份了，連復原要到哪個時間點也無法判定
3.假如真的無法發現加密程式，之後加密程式是會再次執行，還是只要人不執行就沒事?

不知道各位有沒有相關的資料可以分享一下

2016-04-19 10:12 發佈

文章關鍵字勒索病毒掃毒觀念中毒

法客

法客
個人積分：37715分
文章編號：59906187

37715分

2樓

2016-04-19 10:50

fallagent wrote:
看了這麼多先進發表...(恕刪)

有時候不會有木馬

一按執行就開始加密檔案
23,1同時執行
措手不及的

因為是你自己同意這類批次執行的程序
換個名字或方式
幾乎防毒軟體很難判斷是你的工作還是惡意程式

所以還是別亂按郵件內附件或是亂執行啥影片播放器之類的鬼程式
或是在不關緊要的電腦玩就好
重要電腦少碰這些地雷

不回應底下小留言、廢文及討戰文

smash15

smash15
個人積分：1878分
文章編號：59906317

1878分

3樓

2016-04-19 10:59

fallagent wrote:
看了這麼多先進發表...(恕刪)

先回答
2..... 木馬程式不需下載資料。若要下載的話? 他們的伺服器，接檔案會多到爆! 加密程式是直接在你的檔案加密!

3. 不用背景執行，當你發現時，你的所有檔案都已被加密，除了唯讀檔!

1. 個人覺得補漏洞不一定有用! 但之前，有測試一次，微軟的防毒程式有阻攔到。

fallagent

fallagent
個人積分：76分
文章編號：59906702

76分

樓主

2016-04-19 11:22

To 法客:

假如123 會同時執行，這樣最簡單，防毒軟體有擋住就是安全的

我擔心是檔案有備份，也把加密程式也當正常檔案備份那可就是個不定時炸彈

to smash15

我想你誤會我的意思了，我猜測 2.的步驟是要透過漏洞下載一個不是病毒的加密程式到PC，PC就算斷網也是可以會加密所有檔案

同樣，假如加密程式無法被掃毒程式所掃到，那各位前輩所建議的用外接設備作備份，同時也會把加密程式給備份進去，不就糟了

肚子三層非一日之饞

肚子三層非一日之饞
個人積分：1534分
文章編號：59906881

1534分

5樓

2016-04-19 11:34

smash15 wrote:
先回答
2..... 木馬程式不需下載資料。若要下載的話? 他們的伺服器，接檔案會多到爆! 加密程式是直接在你的檔案加密!

抱歉

很多木馬和漏洞攻擊為了攻擊速度，都是DNS引導+背景下載資料(包括加密程式)的

很多木馬甚至會自己更新版本歐～

木馬程式本體很小，不用擔心伺服器的流量，反正伺服器大多也是被害的跳板
(應該沒有病毒作者會笨到直接連自己的伺服器，暴露IP等著警察抓嗎？)

肚子三層非一日之饞

肚子三層非一日之饞
個人積分：1534分
文章編號：59906972

1534分

6樓

2016-04-19 11:40

fallagent wrote:
同樣，假如加密程式無法被掃毒程式所掃到，那各位前輩所建議的用外接設備作備份，同時也會把加密程式給備份進去，不就糟了

網路下載的惡意程式，第一時間只會在瀏覽器的TEMP檔案夾裡面，之後就看病毒作者有沒有刻意讓它隱藏到哪裡

大多數會躲在C碟系統檔案夾，不會躲在一般資料夾，所以備份資料是安全的
(目前只有隨身碟病毒，因為利用AUTORUN，才會躲在磁碟機根目錄)

就算躲在正常的資料夾裡面，
只要你不去執行(滑鼠點下去啟動)，檔案也不會自動執行，跟垃圾檔案一樣直接刪除就好

smash15

smash15
個人積分：1878分
文章編號：59907044

1878分

7樓

2016-04-19 11:44

肚子三層非一日之饞 wrote:
抱歉很多木馬和漏洞...(恕刪)

想太多了! 勒索病毒的目的是要錢。它必須保留加密檔的路徑，提供解密程式時才能找回目標。所以應該會以網頁腳本(script)執行! 嚴格說起來，這種病毒應該不算是木馬...

以上只是個人淺見!

fallagent

fallagent
個人積分：76分
文章編號：59908164

76分

樓主

2016-04-19 13:08

肚子三層非一日之饞 wrote:
網路下載的惡意程式...(恕刪)

所以這種惡意的加密程式也是以執行檔的方式存在，而且是可被備份
但是不執行這個執行檔就不會有問題。

我的理解對嗎?

smash15

smash15
個人積分：1878分
文章編號：59908275

1878分

9樓

2016-04-19 13:18

fallagent wrote:
所以這種惡意的加...(恕刪)

觀念大錯特錯! 勒索病毒不會管你有沒有執行。你到了它的地盤(網頁)，就會中!

雙面浪人

雙面浪人
個人積分：7339分
文章編號：59908298

7339分

10樓

2016-04-19 13:19

以前看過一個，是玩flash小遊戲
然後點點點....就把自己電腦裡面某些權限開起來了
那個小遊戲是開攝影機...

所以以為沒有執行，其實是執行了
只能說良好的使用習慣很重要
csi cyber多看幾集會比較有概念