[問題] 請問這波勒索用之前的監控程式有用嗎?

作者chung74511 (迷惘)

看板AntiVirus

標題[問題] 請問這波勒索用之前的監控程式有用嗎?

時間Mon Jun 6 01:13:19 2016

如題最近聽說又有大規模勒索病毒的受害者而且很多人好像甚至不知道是怎麼中的所以想問一下之前不是有個強者寫了一個監控小程式放在C槽下面一旦監控的檔被改名字就會自動關機這程式當初救了我兩三次覺得超級好用的這次的病毒應該也是改附檔名所以這程式應該還是能用吧? 還是說這次的變種是可以繞過這監控程式的呢@@? 請大家幫解惑一下~謝謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.237.32.110 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465146802.A.243.html ※ 編輯: chung74511 (36.237.32.110), 06/06/2016 01:13:35

推 sunhad: 分享一下程式 06/06 01:22

→ gsm60kimo: 要問yoyo大叔 06/06 01:26

推 Argent: 正常來說病毒加密都來不及了不可能去理這個臺灣幾隻小貓 06/06 01:36

→ Argent: 特別拿來防範的小程式(無惡意，純粹以他們的角度@@) 06/06 01:37

→ PTTCEO: #1MQOQCTo #1MQcWLOd 這兩篇文章有大大提供vbs監控程序 06/06 01:45

→ PTTCEO: 目前看來覺得這一招蠻不錯的應該是頗簡單有效 06/06 01:46

→ PTTCEO: 有人提到加密從桌面開始或者可能會不加密特定檔案 06/06 01:46

→ chung74511: 這個程式可以在中毒沒多久就強制關機 06/06 01:46

→ PTTCEO: 大不了修改vbs加上各式各樣的檔案加上桌面跟各磁區的檢查 06/06 01:47

→ chung74511: 可以有效減少損失(之前大概頂多損幾十個檔以內 06/06 01:47

→ chung74511: 他不能防毒但可以讓你知道中獎了 06/06 01:48

→ gsm60kimo: 不知將Windows Script Host 工具停用是否可有效防堵~ 06/06 01:48

→ PTTCEO: WHS只能針對是由.js發動的 06/06 01:49

→ chung74511: 如果vbs有效的話這應該比任何防毒都好用 06/06 01:50

→ PTTCEO: 是說目前的腳本只檢查檔案在不在及有沒有被改名 06/06 01:52

→ PTTCEO: 如果之後跑出一隻變種只加密不幫你改副檔名就偵測不到了 06/06 01:52

→ PTTCEO: 要等O大出檢查檔案hash值的版本 06/06 01:53

→ chung74511: 目前看起來加密好像都會改名所以應該是還能用對吧~ 06/06 02:03

→ chung74511: 順便問一下hash值是啥東西~ 06/06 02:04

→ PTTCEO: 目前看起來是這樣所以應該都還是可以有效止血的 06/06 02:10

→ PTTCEO: 雜湊值有點複雜簡單說你可以先算出原本檔案的hash值 06/06 02:10

→ PTTCEO: 一但檔案被改過再算他的hash值會跟原本不一樣 06/06 02:11

→ PTTCEO: 比對不一樣就知道檔案被動過 06/06 02:11

→ louis925: 也許可以不用到算hash值 06/06 03:46

→ dennisxkimo: 寫常駐程式偵測預警目錄不用查hash 因不會去改檔案 06/06 10:07