我本身也是苦主，是在2015年七月中的Crypt0L0cker， 當時沒下載東西，應該是用IE看到免空的廣告中的， 損失了一堆照片，也是那之後才認識了沙盤這軟體。 自從有aria0520大發佈的簡易監控小腳本， 還有Moscato大修改的新增提示版後， 真的是讓人振奮阿，一直想要練蠱測試， 卻一直沒有成功，按下病毒樣本無反應。 我想應該不是正確的病毒樣本吧。 過了一段時間，昨天我又在網上搜尋了一遍， 這次成功了，過了約二分鐘跳出勒索視窗。 樣本是 CryptoWall 4.0版，檔名+附檔名都變亂碼。 為了測試後的快速還原，一樣用虛擬電腦跑， 用的是免費版的VirtualBox，及它的快照功能。 簡單心得如下； 1. 執行病毒的當下若是斷網病毒不會發作， 但是一旦連網就開始執行惡意加密動作。 2. 它加密的順序從C槽打開的「第一個資料夾」開始(依排序名稱) 資料夾內加密檔案也是依照名稱， 假設這資料夾命名為001資料夾好了， 裡面的檔案0001.mp4是一部1GB的影片， 還有100張各1MB從001到100.jpg的複製圖片， 它會先花比較長的時間把這影片加密後 (因為電腦世界裡0001排序在001之前) (取決於電腦性能，我自己等了約1分20秒) 才會繼續把剩下的100張圖片加密， 由於這些圖片檔案小，加密時間就相當快了。 3. 參考orze04大的PO文 把待監測檔1.jpg放在名稱為「!test」的資料夾下監測 止血效果要比直接放在C槽下要好很多。 因!開頭會比數字還要前面 即 C:\!test\1.jpg 優於 C:\1.jpg 4. 在Win7系統下，若病毒開始加密後， 且監控小腳本成功偵測並關機止血， 此時就算是「斷網」再開機， 它還是會繼續加密剩餘檔案， 並在完成後跳出勒索視窗。 so...※要救援剩餘檔案請找其他開機媒介。 結語： 簡單的測試恐有疏漏，加上此系列又有變種， 此次結果不保證適用其他新的勒索病毒， 給有興趣的板友純作參考用，謝謝。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.126.70.136 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1452793873.A.58F.html ※ 編輯: magiyan (59.126.70.136), 01/15/2016 16:45:10