2017年1月4日 星期三

Locker 加密勒索病毒,你需要知的事


Locker 加密勒索病毒
拿你珍貴回憶來勒索你
台灣單單2015年,已經有近5萬件加密勒索病毒攻擊事件。。。
你需要知的事、主流防毒對抗實驗

Windows 10 LTSB x64-2017-01-04-14-26-55 - 複製    cryptolocker

試想像,突然有天打開電腦...
電腦珍貴的照片、論文(Word檔)、明天要報告的PPT,全部被"加密"鎖上...

Windows 10 LTSB x64-2017-01-03-21-36-48

Windows 10 LTSB x64-2017-01-04-00-08-28

然後,電腦彈出勒索訊息!!!
要求你在指定時間內:付款。
否則你電腦的資料(圖片、論文、報告),將永遠無法解鎖。

cryptolocker
並且給你倒數=="

 

 

當你以為這只是騙案時....
我要告訴你,這是真的!真..資料勒索!
重裝系統也沒有用,因為資料已經被加密~~~

這就是最流氓的:Locker 加密勒索病毒

Windows 10 LTSB x64-2017-01-03-22-09-11

 

 

Locker 加密勒索病毒:你需要知道的事

  • Locker Virus加密勒索病毒,是一個新的感染方式,並非只得1隻病毒。目前已經廣泛流行,並且有大量變種。。
  • Mac並非免疫:Mac在2016年Q1也有大規模爆發,而且更會穿透 Time Machine加密備份。
  • 重裝系統沒有用,因為加密病毒會將你的資料鎖定。而且如果你決定交錢換解密金鑰,就更不能重裝。
  • 勒索金額通常為:1~3個比特幣~~~即$32,000 TWD至$96,000 MOP 左右。
  • 資料檔案被加密後,基本上除非交錢,否則基本上無法破解。。。所以,預防相當重要~~~

 

主流防毒對抗實驗

  • 昨日使用了12個樣本,模擬防毒軟件面對變種、未知的加密勒索病毒,能否阻止個人資料被加密。
  • 測試只針對行為防護機制。--測試沒有聯網、防止雲端偵測。

未命名

 

--F牌阻擋率雖然高,不過似乎依賴變種定義比較多。而針對加密病毒行為方面,應該有不足。
--在啟動病毒時。Deep-Guard會將程式入沙盤,在模擬沙盤內發現可疑時就會直接封鎖,因此病毒實際上無法啟動。

Windows 10 LTSB x64-2017-01-03-21-54-50

 

--K牌阻擋一律靠PDM:Trojan.Win32.Generic,針對行為方面。
--K牌似乎沒有沙盤,反而會在病毒實際運作時監控控。發現可疑時就會殺掉威脅,並Roll Back復原感染。

Windows 10 LTSB x64-2017-01-04-00-02-12

 

比較意外的是:
--對於 Cerber 勒索病毒,K牌和S牌的行為防護完全沒有反應。電腦內的資料(圖片、文件)全數被加密上鎖。

Windows 10 LTSB x64-2017-01-04-14-27-28

 

用戶-->對抗加密病毒方法

  • 至少1份離機備份。(系統被感染後,確保安全前不要拿出來。)
    加密病毒會尋找所有連接中的檔案系統(包括外置硬碟、網路NAS、雲端硬碟),因此離機備份才是對抗加密病毒的最後防線。
  • 強大有效、由其有"行為防護"組件的防毒軟件
    Deep-Guare、System Watche,都是已知十分有效。而Sonar因為無法單獨測試,所以能力未知。

 

後記:HIPS 可能更有效、但太難
--昨日反覆測試,發現如果使用HIPS(主機入侵防護)組件,在大量已知白名單配合下(白名單自動入信任組),再對未知程序定義嚴格的HIPS控管。阻攔率能夠大幅度提升。因為往往病毒的執行,都是暗地裡運行的程序。

HIPS

 

作者:天光仔
Powered By:Micro Lao~~

沒有留言:

張貼留言