一開始先跟大家提到一個在XP時代有名的隨身碟病毒KAVO， 當時讓隨身碟免疫的方法就是在隨身碟根目錄下建立autorun.inf目錄， 然候應該很多人還有印象，再下一層有一個無法讀取及刪除的目錄123. 為什麼要提到這個，因為不論是使用者帳號限制也好，檔案設唯讀權限也好， 都是讓綁架軟體無法覆寫檔案的方式來保護， 而在這個123.的資料夾下的檔案，有點不一樣， 於是就有了這次的實驗。 注：要跟著下面實作的人，一點基礎需要。 ***重要*** 第一步需在XP或XPE的環境下於C或D槽直接建立123.的資料夾 http://i.imgur.com/MjyNtVK.png C:\>mkdir 123..\ 資料夾名稱有限制必須6個半型字元以下， http://i.imgur.com/tccQuLM.png 於是就得到看起來名稱為123.的資料夾。 http://i.imgur.com/ks8LlNn.png 無論在XP或WIN7以上環境直接雙擊左鍵開啟都會有同樣的提示， 並且無法直接讀取及刪除。 http://i.imgur.com/9l3Pfrv.png http://i.imgur.com/0cOPmb8.png 本篇重點： 再來這個應該就很少人知道了！這個資料夾並非完全無法存取！ 它其實如同一般資料夾可讀取可覆寫， 只是！！！無法使用一般路徑來作讀寫的動作！！！！ 前面提到限制6個半型字元就是因為在這邊要用短檔名的方式去開啟， 超過6個半型字元好像就無法正常開啟了。 因為方便，這裡我使用寫入記事本存.bat的方式用於直接雙擊執行開啟， 命令也可以直接輸入 C:\>start C:\123~1 便可發現此資料夾被開啟了。 題外一下，這指令是在WIN7後才適用的， 在XP下我記得直接在路徑欄打上C:\123..就進去了， 升到WIN7時打不開差點崩潰，好久才在不知哪的外國論壇看到這個方法， 一直到現在WIN10依然可用，當時我覺的這真的是超適合拿來裝秘密， 內建搜尋不到，everything之類的搜尋軟體雖然看的到但不能摸， 不過現在不需要了就是... 實作的教學也就到這了，其實也不是很難，下面就看一些測試吧。 首先在一般資料夾和123.各放入相同及不同的檔案資料， http://i.imgur.com/OafRFu6.png 1.作者良心發現的Crypt0L0cker http://i.imgur.com/yVlD4A7.png 執行直到跳出訊息，就可以看到差別了，執行途中兩個資料夾仍然是開著的。 就可以知道在這個短檔名路徑下，綁架軟體無作用。 http://i.imgur.com/xgtKhdq.png 2.Cerber http://i.imgur.com/TdR0YFh.png 一樣執行直到跳出訊息。 超兇連檔名也覆寫了，有趣的是會聽到播放聲音： attention! attention! attention! your documents photos databases and other important files have been encrypted. 然候重複十遍左右吧.... http://i.imgur.com/8THnX7N.png 3.最後大概會是本月 MVP CryptXXX3.0 試著換到WIN10看看。 http://i.imgur.com/LioJsRl.png 完美加密。除了123.資料夾 http://i.imgur.com/JhOLuFj.png 看最新的應該是.crypz，但我看了幾個樣本網站好像還沒有， 有善心人士抓給我玩我會很開心的。 最後就提醒一下， 保護檔案最好的方式還是離線備份， 上面的方法也不保證對以後綁架軟體有用， 因為這方法目前看起來似乎還有可用性， 所以就提供給各位了。 大概這樣。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.132.60.208 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465230874.A.1AF.html ※ 編輯: pendoth (220.132.60.208), 06/07/2016 00:45:18 測試的確可以！分區掛123.資料夾下依然可達到不被目前已知的勒索軟體加密的效果。 你好聰明！ 這句話應該標重點起來的，在XP下和在WIN7下同樣mkdir指令建出來的資料夾可不一樣， WIN7下建的檔名會變123..，XP下則是123.，前者可以直接開啟但內容檔案開啟會產生 路徑上的錯誤；後者需靠指令進入，但內容檔案可正常開啟使用。 mkdir就是建立資料夾目錄的指令，rmdir就是刪除資料夾目錄的指令，會砍掉是理所當然 的，就跟右鍵能建立資料夾也能刪除是一樣的，重點是綁架軟體目前無法針對到只能用短 檔名去開啟的資料夾內部檔案作加密的動作，所以這個資料夾才形成類似安全地帶的現象 ※ 編輯: pendoth (220.132.60.208), 06/07/2016 22:21:56 因為123..和123終究不是同一個目錄，只是你雙擊開啟123..資料夾時會被導向123，試著 先刪除123資料夾再去執行123..內的檔案，是不能正常開啟的；假如先在123..放一個檔案 再建立123資料夾，123..就會被導向123而變成空目錄。SO，還是得在XP下建立123.資料夾 才行。 會，但不是每支勒索軟體都會。 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:27:29 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:34:00 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:36:35 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:38:41 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:39:11 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:42:32 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:43:27 ※ 編輯: pendoth (220.132.60.208), 06/09/2016 04:43:43