看板 C_Chat 關於我們 聯絡資訊
總之,寫了一個簡單的小腳本 基本概念就是他會每30秒監測C:/1.jpg這個路徑 如果這個路徑消失了(也就是1.jpg被修改)就會強迫關機 例如被改成1.jpg.vvv就會0秒強迫關機 我把腳本放在ntu space可以安心下載(更新ver2.01) https://goo.gl/00d20D 內有兩個檔案: 1.jpg 背景監控用的vbs腳本 如果不放心可以直接右鍵編輯看裡面的程式碼 也可以自行修改,概念很簡單 使用方法直接解壓縮在C槽底下就行 要上網之類的時候就點一下vbs檔,就會開始監控了 佔的資源極小基本上可以忽視 如果要開機自動執行的話也很簡單 win+R 執行gpedit.msc 按電腦設定/windows設定/指令碼(啟動/關機) 把vbs腳本新增進去即可 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.147.16.95 ※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1449754050.A.D1D.html
BigCat: 先m一下 看要不要考慮推廣到AntiVirus或EZsoft兩個板… 12/10 21:30
killme323: 推推 12/10 21:30
pichu215: 推 如果中標被強制關機,開機後病毒會還在嗎? 12/10 21:31
hinajian: 變種好像不一定是.vvv 如果改成"被改名就關機"如何? 12/10 21:31
我的說明好像有點誤解XD那只是舉例 只要有被修改都會強迫關機
hinajian: 3樓 應該還在 快點接其他電腦掃毒吧 12/10 21:32
eva05s: 被改名就關機有點微妙 要是想改檔案名就尷尬了 12/10 21:32
AirPenguin: 現在副檔名常見的有哪些阿 12/10 21:32
sssyoyo: 不錯耶 最近聽到硬碟聲風扇聲就疑神疑鬼 12/10 21:33
opmikoto: 被改副檔名就關比較正確吧 12/10 21:34
BigCat: 置底還有空間,這篇先置底一陣子,有需要的板友比較好找 12/10 21:35
RZSR: 應該是只監控1.jpg那個檔案,不去動他就沒事了 12/10 21:37
Leeng: 你的112IP勒 12/10 21:37
wsdykssj: 能否加幾個其他附檔名空檔案,任一被改則關機? 例如mp4 12/10 21:39
wsdykssj: doc pdf等,因為好像不同衍生版本會略過的副檔名不同 12/10 21:39
在bat的第2行和第3行間加上下面這句 if not exist "c:\1.mp4" (shutdown.exe -s -f -t 0) 以此類推
Galm: 推 12/10 21:40
sokayha: 執行它會占滿一個cpu O.O 12/10 21:44
我修改一個隔30秒監測一次的版本好了,等等
hinajian: 如果我設了開機自動執行又自己手殘刪檔 會不會開機秒關? 12/10 21:49
SaberTheBest: 推 12/10 21:50
talesworld: 樓上可以用安全模式進系統 12/10 21:53
修改完畢,新版本是30秒監測一次
finaloltry: 聽說是線上加密 不要關機改關網路的話不知道有沒有效 12/10 21:59
sssyoyo: 關網路無用有人證實過了 12/10 22:01
Fansugimoto: 請問一下要停止的話要怎麼作? 12/10 22:04
sokayha: 工作管理員關掉wscript.exe 12/10 22:06
ebolalala: 推 12/10 22:13
SuperSg: 結果自己 12/10 22:16
peiheng: 像是搞笑漫畫的自爆按鈕那樣 總是會被主角群誤觸XD 12/10 22:27
intela60474: 有實際行動給推 12/10 22:37
更新了1.jpg(?
erik777: 不可能線上加密一定是在本機 12/10 22:57
erik777: 關機只是讓你可以救資料 把硬碟用外接盒接到別的電腦去 12/10 22:59
erik777: 關機後改用安全模式開機不知能不能避開病毒啟動 12/10 23:03
emptie: 如果病毒改成亂序加密你的檔案感覺這個1防線就失守了 12/10 23:07
以防萬一,我把bat的功能整合進vbs,這樣就萬無一失了 因為vbs腳本一旦開始執行,就算病毒改它的原檔案也不會影響它監控
erik777: 這方法本來就是治標 至少提高能救檔案的機會 12/10 23:14
※ 編輯: aria0520 (27.147.16.95), 12/10/2015 23:40:18
sorochis: 多監控幾個檔案不就得了.... 12/10 23:47
aria0520: 那樣的話還是有機會會先炸掉我的bat檔 12/10 23:48
aria0520: 但我現在把功能都整合進vbs腳本裡了,所以不會有這問題 12/10 23:48
aria0520: 對了,想減少秒數可以改這行 wscript.sleep 30000 12/11 00:00
aria0520: 10秒就改10000 12/11 00:00
orze04: 病毒好像是會先從常用檔案開始鎖 12/11 00:57
orze04: 話說病毒應該也有辦法反制 創造一個同名空檔取代原本檔案 12/11 01:13
MichaelRedd: 大大太神了,以後可以去防毒軟體公司上班 12/11 01:18
wsdykssj: 以後會不會檔名都不改,只加密 12/11 01:20
orze04: 加密了副檔名會變阿 12/11 01:23
wsdykssj: 這就很怪阿,副檔名變了容易讓使用者中途就發現 12/11 01:24
wsdykssj: 感覺改副檔名只是為了不讓病毒又重複加密而已 12/11 01:25
yukitowu: 我記得有看到一個變種 檔案加密後是沒有改檔名的 12/11 01:27
orze04: 很多變種 還有加密後檔名也亂碼 讓你不知道那些被加密 12/11 01:33
orze04: 不知道病毒能不能鎖住shutdown.exe XD 12/11 01:34
orze04: 我想想好了 12/11 01:38
chung74511: 這招好像還不錯XD 12/11 01:43
chung74511: 要是這篇再早點出來就不用花我一筆錢贖檔案了QQ 12/11 01:52
orze04: 這只是讓你有時間防止損害擴大而已啦 12/11 01:55
orze04: 還是要常態備份 12/11 01:55
winiAH: 從監視的檔案被修改就動作這方向來看是不錯的出發點, 12/11 02:00
winiAH: 不過如果有辦法直接關閉掉病毒程式,跳出被攻擊警告, 12/11 02:00
winiAH: 還有盡量把檔案隨機放在使用者目錄( /Users )底下, 12/11 02:00
winiAH: 檔名也要盡量隨機從同層資料夾複製隨便個檔案當誘餌, 12/11 02:00
winiAH: 或進一步直接開個沙盒環境讓瀏覽器中獎時先在裡面跑, 12/11 02:00
winiAH: 這樣可以避免勒索軟體看見你檔頭資料不對就跳過不動。 12/11 02:00
orze04: 創10個檔 每隔30秒隨機在變換位置 12/11 02:03
orze04: vbs裡要怎用布林變數阿 12/11 02:04
orze04: Dim b1 12/11 02:07
orze04: Set b1 =fso.FileExists("C:\1.jpg") 好像不能這樣賦值 12/11 02:08
chung74511: 有人研究過病毒是從哪些擋開始加密的嗎? 12/11 02:36
chung74511: 我中了以後發現每個槽較早期的都被加密 可是較新的沒 12/11 02:37
chung74511: 不知這對監控擋的位置是否有幫助 12/11 02:37
orze04: 開檔次數 使用越多的機率越高 12/11 03:04
orze04: 有些是從桌面開始 12/11 03:04
orze04: 有些是按照CDEF槽 12/11 03:05
orze04: http://tinyurl.com/ncj7j2j 這是我的版本 12/11 03:36
orze04: 多偵測幾個副檔名 12/11 03:37
orze04: 另外複製一份shutdown.exe 12/11 03:37
chung74511: 我的好像不是從使用最多開始加~照片有按照時間資料夾 12/11 03:39
chung74511: 然後被加密的多是2011~2013的資料夾 2015後的都沒事.. 12/11 03:40
Tars: 建議你多監視個.txt和office系列檔案 自己經驗這些優先度超 12/11 04:47
Tars: 高 12/11 04:47
Tars: 而且檢視硬碟裡的檔案殘骸 各硬碟同步加密的可能性很高 但最 12/11 04:50
Tars: 優先的還是系統碟 12/11 04:50
miau9202: 不要只監看檔名,能不能同時監看檔案hash? 12/11 08:00
orze04: 我的有檢測 pdf,xlsx,docx,pptx,txt 12/11 09:02
orze04: 要看hash會變肥 至少目前大宗的還是會改名 12/11 09:03
orze04: 再說 ,病毒如果要加密後創一個等大小的檔案 反而可能因為 12/11 09:05
killme323: 執行後瞬間被強制關機 但是檔案沒事( ′_>`).. 12/11 10:14
orze04: 記得c槽要有1.jpg 不要直接下載了就執行 12/11 12:03
agreerga: 如果設開機啟動結果不小心動到檔案 會重開機循環嗎? 12/11 13:32
orze04: 會啊 12/11 13:41
spfy: 這東西只是個保險 不是100%安全 現在每個變種的優先檔都不同 12/11 14:42
blackwindy: 其實這個概念很多防毒公司早就有做了 只是會被針對 12/11 14:55
orze04: 可以修改記錄常用檔案的list 看到 12/11 14:55
blackwindy: 所以效果都不是說很好 12/11 14:56
orze04: 所以重要資料經常備份才是最重要 目前還好很少看到會炸git 12/11 14:59
orze04: 的 12/11 14:59
killme323: 我解壓縮放C槽根目錄下 1.jpg在 但是一執行vvvfku.vbs 12/11 16:33
killme323: 就被關了=..= 12/11 16:33
killme323: 更正 是被秒關機 12/11 16:33
john15692: 有人用true image備份嗎?有點怕.tib被鎖,不知道是不 12/11 16:35
john15692: 是有案例,比較這軟體備份算大宗 12/11 16:35
Zero0910: 只要是檔案就能鎖吧 12/11 17:21
jackyT: 想問如果他是隨機開始加密 這樣的防堵能力不就相當低嗎 12/11 19:26
orze04: 這部是防堵阿...就算15秒scan一次 也可以加密很多檔案了 12/11 19:27
orze04: 太頻繁的檢查又會吃CPU 12/11 19:27
orze04: 這是讓你損害不要擴大 12/11 19:28
orze04: 要防禦'? 保持更新 經常備份 12/11 19:29
jackyT: 雖然這方法擋一些亞種應該有用 12/11 19:30
jackyT: 我是知道這個的邏輯 我是想說這樣效能換到的會不會有點不 12/11 19:31
jackyT: 太划算@@ 12/11 19:31
aria0520: 這才吃3mb記憶體耶XD 12/11 20:09
aria0520: 主要目的只是設一個停損點 12/11 20:12
orze04: 病毒只要加密後建立同名空檔就好 12/11 20:27
orze04: 所以我現在在想多用檔案檢查碼確認 12/11 20:28
orze04: 另外確認空白檔被釣機率不高 餌的檔案header也可能要考慮 12/11 20:29
YChromium: 請問大家如果要補星際大戰補的順序要123456還是456123 12/11 21:08
YChromium: 哪個比較好呢 謝謝 12/11 21:08
YChromium: 拍謝看到閒聊就直接推了 12/11 21:12
orze04: 456123 12/11 22:40
silentazure: 圖片檔案就自己找一張圖改名為1.jpg,就不用拿空白檔 12/12 01:26
aria0520: 其實我現在的版本附的不是空白jpg~ 12/12 01:42
nija: AKB49 258 (雷 12/12 03:35
nija: 靠夭推到......不好意思 12/12 03:36
kid725: 好厲害.... 12/12 03:41
kid725: 是說病毒執行時會躲在哪? 我有個硬碟之前中招 12/12 03:42
kid725: 後來掃毒掃不出來 裡面的資料都不敢移出來..... 12/12 03:43
CP64: 如果是接到其他電腦上拿比較沒問題 check 一下有沒有 12/12 11:35
Foot: 電腦關機再來比較推薦怎麼作? 之前不是說開機後病毒繼續加 12/12 11:35
Foot: 密XD? 12/12 11:35
CP64: autorun.inf 就好了 12/12 11:35
jackyT: 移出來後最好直接format 12/12 17:28
chung74511: 發現中毒請把所有硬碟都拔掉輩份 主系統蝶格掉 12/13 02:34
kid725: autorun.inf會藏在哪? 有的說法說好像說關機後程式就不在 12/13 08:59
kid725: 了 所以也找不到 搞不清楚 QwQ 12/13 08:59
jerry0715no1: 這個太神啦 12/13 17:20
kuku321: 補充一下 基本上對於這個惡意程式不用太緊張了 12/13 22:40
kuku321: 台灣人的電腦習慣比日本人強多了 只要定期更新就沒事 12/13 22:41
kuku321: 去確認看看FLASH版本是不是升到19.0.0.226以上了 12/13 22:41
kuku321: 有的話就已經把這次出包的漏洞修復了 基本上不會有事 12/13 22:42
kuku321: 相關請參考 http://tinyurl.com/gmcgal4 12/13 22:42
kuku321: 台灣高峰期應該過了 現在日本還在延燒是因為他們傻到連 12/13 22:43
kuku321: IE7可能都還在用 然後FLASH不知道多久沒更新 才會繼續燒 12/13 22:43
aria0520: 太好了 總算能安心些了 12/14 01:16
aria0520: chrome的使用者記得檢查是否更新到47.0.2526.80,這個版 12/14 01:21
aria0520: 本以上才會有flash 20.0以上的安全版本哦 12/14 01:21
aria0520: 目前flash的最新安全版本是20.0.0.228 12/14 01:22
orze04: 真的嗎 昨天還前天才一堆人中FB病毒 12/14 02:49
orze04: 看到要求安裝套件就直接點允許 然後才上求救 12/14 02:49
orze04: 這種人就算裝了防毒 UAC也開著 遲早還是會中標 12/14 02:50
orze04: 另一種是自己為安全就完全沒備份的(包含有些公司) 12/14 02:51
b0920075: 他鎖定的副檔名freebuf有介紹可以看看 12/15 03:50
s920361: 我覺得希望加個md5驗證。 12/15 20:57