大家好,本篇主要測試"隱藏磁碟機代號預防勒索病毒"是否可以避免被勒索加密,此測試僅作為參考,正確且最有效的方式仍然是備份!備份!備份!,配合作業系統更新以及防毒軟體輔助,才能降低遭到勒索軟體的風險以及降低損失。
本次測試採用Windows 10 1703 映像檔安裝,並在離線狀態下測試勒索病毒,測試過程中發現不少勒索病毒樣本在無網路下或是Windows 10是無法執行的,所以本次測試是以這幾款可以在Windows 10 且離線狀態下,仍可繼續加密的樣本進行測試。
本篇測試環境:
Windows 10 1703 (無網路)
測試勒索樣本:
WanaCrypt 2.0
TeslaCrpyt V3
spora
Surtr (GlobeImposter 2.0)
Jaff
Jigsaw
到磁碟管理找到D磁碟機,並對其點擊右鍵 變更磁碟機代號。
點選移除。
成功隱藏。
此時我的電腦中D磁碟機會消失。
在這次幾個勒索樣本的測試中,雖然測試樣本較少,但也確定這些樣本並無法對隱藏磁碟機代號的磁碟機進行加密,此預防方法的安全性會大於前篇介紹的修改副檔名預防勒索病毒,但要注意的是這些勒索病毒是一直在進化的,未來可能會出現針對隱藏磁碟機加密的勒索病毒也說不定,所以預防勒索最有效的方式就是備份,配合作業系統更新以及防毒軟體輔助,才能降低遭到勒索軟體的風險以及降低損失。
補充:在勒索病毒確定完全清除之前,不要輕易地回復磁碟機代號,避免隱藏磁碟機內的遭到二次加密。
spora
Surtr (GlobeImposter 2.0)
Jaff
Jigsaw
測試
將檔案放置至D磁碟機。
到磁碟管理找到D磁碟機,並對其點擊右鍵 變更磁碟機代號。
點選移除。
成功隱藏。
此時我的電腦中D磁碟機會消失。
樣本測試
WanaCrypt 2.0
[成功防禦] 清理勒索病毒後,回復磁碟機代號。
加密完成
[成功防禦] 清理勒索病毒後,回復磁碟機代號。
TeslaCrpyt V3
[成功防禦] 回復磁碟機代號。
spora(此勒索樣本不會更改檔名)
Surtr (GlobeImposter 2.0)
Jaff
Jigsaw
加密完成
[成功防禦] 回復磁碟機代號。
spora(此勒索樣本不會更改檔名)
加密完成
[成功防禦] 回復磁碟機代號。
Surtr (GlobeImposter 2.0)
加密完成
[成功防禦] 回復磁碟機代號。
Jaff
加密完成
[成功防禦] 回復磁碟機代號。
Jigsaw
加密完成
[成功防禦] 回復磁碟機代號。
結論
全部防禦成功
補充:在勒索病毒確定完全清除之前,不要輕易地回復磁碟機代號,避免隱藏磁碟機內的遭到二次加密。
沒有留言:
張貼留言