如題 之前我打了一篇#1MM50tcZ (AntiVirus) "隱藏磁碟機代號是否能夠避免勒索軟體" 這一次找來了許多樣本 包括torrentlocker(crypt0l0cker) CTB-locker cryptowall3.0(4.0樣本有人有嗎 我找不到) cryptoholder(這好像比較少見) 這一些樣本 來進行測試 這一次被測試的內容有doc docx xlsx jpg cpp wmv exe這一些 http://i.imgur.com/4pehB5a.jpg ↑我們先將東西放進去那個等等要被隱藏的磁碟區內 http://i.imgur.com/wBXxu0T.jpg ↑接著將該磁碟區代號移除 http://i.imgur.com/WCbdYra.jpg ↑接著，執行所有的病毒樣本 (執行過程 明顯感覺CPU風扇變大聲一些，但是其實不會很大聲) 在點擊時 我有開UAC 但是沒有跳出確認是否要執行的視窗 So... 有些是執行完畢後 原本的檔案就直接消失 有些則不會 http://i.imgur.com/BSrIemV.jpg ↑過幾分鐘後 檔案開始被加密 http://i.imgur.com/F562SFO.jpg ↑並且會一直跳出有東西停止運作 http://i.imgur.com/SLjVieD.jpg ↑重開機後 桌面由CTB-locker成功拿下 http://i.imgur.com/d6cUBSe.jpg http://i.imgur.com/trRI1s7.jpg ↑但大多數的東西還是由cryptowall3.0拿下(當然不排除一個檔案被多次加密了) http://i.imgur.com/ST8Fuj2.jpg ↑RAR ZIP 7Z通通被加密，但是應用程式.exe卻沒有 實際打開GPU-Z 確定正常可以開 http://i.imgur.com/BOqrZu2.jpg ↑強制打開都是亂碼 http://i.imgur.com/2aEij9v.jpg ↑之後跳出這個 推測是勒索軟體想要砍掉磁碟區陰影複製 讓你無法還原 http://i.imgur.com/4kwbhw2.jpg ↑doc docx xlsx jpg cpp wmv通通被加密 不過自己寫的EXE似乎不會 或許是檔案太小 http://i.imgur.com/GoL7Pm4.jpg ↑這時後使用百度雲查殺 清除感染，避免檔案再次被加密(隨便找一個來用的) (PS 實際上請不要這樣搞 請去用PE來搞，防毒軟體不一定有用) http://i.imgur.com/A8j3uwL.jpg ↑這時候恢復磁碟機代號，並打開 檔案似乎都沒被勒索到 http://i.imgur.com/DufR1Zl.jpg ↑試開看看 確定完全沒問題 (當然 在C槽以經被加密的檔案還是QQ了) 結論 這招目前看起來還是有效的 不過不確定在日後變種還會不會有效 最好的方法就是用其他硬碟備份 之後拔出來 有幾個好處 一就是這樣絕對不會被加密勒索 二就是如果你電腦的電源供應器出問題 把所有硬碟打壞 這樣就能避免了 話說有人可以提供給我 cryptowall4.0的樣本嗎 想要玩看看 -- ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 看板《WhiteCat》 ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 白貓 Project板 ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄ 怎麼前往 ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄(C)lass->7 戰略高手 ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄->9 G_MobileGame ▄ ▄ ▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄▄->WhiteCat 動作 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.39.154 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1448892094.A.AB5.html 其實直接在bios裡面將那個SATA PORT disable會更好 但是有些主機板沒辦法這樣搞 而且對於硬碟只有一顆的人來說也沒辦法 ※ 編輯: qxxrbull (175.181.39.154), 11/30/2015 22:14:26 會 從flash打進來的 flash能夠存取本機端就會 有 但是有些東西要登錄 然後登入他會說什麼IP不接受之類的 ※ 編輯: qxxrbull (175.181.39.154), 12/01/2015 09:55:31 有空試試看 ※ 編輯: qxxrbull (175.181.39.154), 12/02/2015 22:59:20