討論群組
小惡魔市集 悅遊日本 活動報導
我要回覆

關於 勒索程式 的經驗 2015.10-2016-04

  • 2016-04-04 19:56
  • 20549
kyo6347
kyo6347
69分
樓主
kyo6347
kyo6347
個人積分:69分
文章編號:59739352

saber11 wrote:
稍微爬了一下WMIC...(恕刪)


這部分的確還有討論的空間

曾與同事討論過關於這一類惡意程式的啟動機制
1.點擊後連結後的一瞬間
2.點擊後程式後的下次重新啟動
3.固定的時間
4.點選某執行檔之後(例如這次的 WMIC.EXE 當引信)
...

相信目前大多數的防毒軟體都能掃得到這類的惡意程式
就算不斷出現包覆不同"糖衣"的版本
但大多數的惡意程式核心似乎都類似
只是勒贖的匯款帳號改過...
卡巴一類的偵測會出現 unknow ... 無完整"正名"的程式稱呼
防毒機制一般都還是有發揮作用 該檔的 該提醒的 都有出現
就怕您沒有注意到 或是 執意去打開炸彈!

有發現到部分 企業的員工 發揮小聰明
在較舊的電腦主機或是效能吃緊的主機
會將防毒"暫時關閉"以換取較多的效能
然後可能就中獎了...
貓.電腦.不思議
2016-04-05 8:02 #11
kyo6347
kyo6347
69分
樓主
kyo6347
kyo6347
個人積分:69分
文章編號:59739376

UFO_Alien wrote:
---------...(恕刪)


就像文中所提的

第一次親眼看到這程式其實有點莫名的興奮!

因為才剛重灌 裡面沒有重要資料
人的好奇心驅使! 反正最多再花點時間重新安裝就好!

可惜同事忘記他是到哪個網站下載驅動
不然就可以再試一次
確認後再分享給大家!... 應該說避免有人再去點擊
貓.電腦.不思議
2016-04-05 8:09 #12
kyo6347
kyo6347
69分
樓主
kyo6347
kyo6347
個人積分:69分
文章編號:59739407

Newman.Chen wrote:
這支WMIC是正常...(恕刪)


目前看到的機制 的確是會問過您並經過您的同意!

為何稱作是惡意程式而不是病毒... 就是因為需要您的同意(點擊)

不過經過您的提醒 我也想起來 出現 WMIC.EXE 時的狀況
並不是我去點擊這個程式
而是重開機後自行跳出的視窗

就像 #9樓 saber11 大大所說
...
WMIC.exe
這支應該是微軟正常的工具
檔案應該不是被經過偽造
只是被批次寫入執行了刪除陰影備份
和背後執行了其他的病毒
這招實在很陰險 用微軟工具來弄你
...

一些影音網站 例如: 嘟嘟...
如果真的要看免費的影片 在使用上 就要小心

跳出的不明視窗 不要隨便點右上角的X 關閉
可以試著改用 ALT+F4 關閉
因為曾發現假的圖形化的 X 背後是惡意連結
貓.電腦.不思議
2016-04-05 8:20 #13
ynamei
ynamei
387分
14樓
ynamei
ynamei
個人積分:387分
文章編號:59739475
用假mail()寄信是件容易的事
kyo6347 wrote:
這是上週 2016年...(恕刪)
2016-04-05 8:39 #14
jiang360
jiang360
616分
15樓
jiang360
jiang360
個人積分:616分
文章編號:59739684
除了卡巴斯基,現在很多防毒軟體也都可以偵測的到勒索病毒了
有的直接在郵件下載的同時直接把附加檔案移除
有的是使用者試圖開啟附加檔案的壓縮檔時會進行阻擋
當然,如果使用者還是這麼白目執意去開啟
那就願主保佑他了
2016-04-05 9:17 #15
systemctl
systemctl
15189分
16樓
systemctl
systemctl
個人積分:15189分
文章編號:59741745
kyo6347 wrote:
不過網路磁碟機 或是 NAS 這部分倒還沒見到災情......(恕刪)


我平時幾乎不來電腦安全這區逛

上星期最後一天上班日,學長公司的NAS中獎,打電話來求救,幫忙上網找資訊(因為SI廠商都休假)

怪的是,全公司目前知道的PC將近300多台,沒一台有問題,放在File Sever的擋案也沒問題(Server 2008 w AD)

反正有綁AD的設備都沒問題,唯獨沒有的NAS中獎....

可憐的學長...連假還要去公司收拾殘局...當MIS真辛苦...

所以不要說NAS沒有災情,只是你沒見到而已

不過它的運作原理應該跟PC平台不一樣
2016-04-05 13:17 #16
火疾風
火疾風
538分
17樓
火疾風
火疾風
個人積分:538分
文章編號:59741927

kyo6347 wrote:
目前看到的機制 的...(恕刪)


所以裝ABP擋廣告有用多了

不會去點到莫明的廣告連結

還有網路上本來就要有防衛性使用的習慣

到處都有陷阱跟假資訊

自己能判別也是必要的資訊素養

要看片就去伊莉至少安全多了


另外就算觀念很好的人可能還是會中招

這時候WINDOWS還原點就很好用了,直接還原到沒出問題時間點的電腦,可以當作急救技能

2016-04-05 13:41 #17
aleck1119
aleck1119
235分
18樓
aleck1119
aleck1119
個人積分:235分
文章編號:59741932
執行了不明的程式
中獎也還好
比較想知道的是網頁
有人說只是開啟網頁、什麼事都沒做就中了
是如何中的
是透過JAVA或FLASH的漏洞嗎?
以至於開啟網頁就自動下載執行程式嗎?
2016-04-05 13:41 #18
systemctl
systemctl
15189分
19樓
systemctl
systemctl
個人積分:15189分
文章編號:59742091
aleck1119 wrote:
有人說只是開啟網頁、什麼事都沒做就中了
是如何中的
是透過JAVA或FLASH的漏洞嗎?
以至於開啟網頁就自動下載執行程式嗎?...(恕刪)



這個問題我剛好有經驗可以回答你供參考(十幾年前一種MSN病毒,會讓CPU使用率100%)

有2種狀況:

狀況一:
系統的組件沒更新到最新修補安全性漏洞,例如:ActiveX、JAVA、Flash...,開啟惡意病毒網頁就直接執行Script,當然就中獎

狀況二:
系統的組件有更新到最新修補安全性漏洞,開啟惡意病毒網頁會出現XXX.js or XXX.exe or xxx.cmd...要不要執行??

Yes....當然就中獎

如果有裝有效的防毒軟體,狀況二可能連出現XXX要不要執行的訊息都沒有,直接被攔截

狀況一加上有效的防毒軟體會如何??不知道.....也不想試,系統組件(ActiveX、JAVA、Flash)安全更新要做就對了,不然移除掉不要用
2016-04-05 14:00 #19
saber11
saber11
344分
20樓
saber11
saber11
個人積分:344分
文章編號:59743408

kyo6347 wrote:
這部分的確還有討論...(恕刪)

跳出來的視窗應只是整個病毒包的某項行為被偵測到
其他的背景執行部分還是被滲透
不只Wmic.exe 網路上還有看到v開頭微軟工具同樣被拿來刪除備份
不執行只是讓災害沒有進一步擴大

網路上這些假網站也很危險
有時候也不免要上去找一些難找的檔案
搜尋引擎沒有落實舉報 把網站下架擋掉
也很容易搜尋到而誤入歧途啊
2016-04-05 16:46 #20
我要回覆

小惡魔廣編特輯

HP 狠惠省系列 Deskjet UIA 4925 多功能印表機 讓媽媽不生氣的小孩作業最佳夥伴
Audi Q6 e-tron quattro S line 兼具豪華氣度與純電科技魅力!
破解選擇障礙!挑出你的 Mercedes-Benz 最佳純電夥伴!
vivo X200 Pro 蔡司影像旗艦 從人像到望遠一機搞定!v.s. Samsung S25 Ultra
關閉廣告
顯示廣告
文章分享
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
留言回報
取消 確定

今日熱門文章 網友點擊推薦!