谈一个实际问题

显示全部楼层 · 发表于 2017-5-30 21:38:02

假如中了勒索，但是用HIPS锁定了资料文件夹，只有系统和其他文件夹被锁，这种情况下应怎么后续处理？（要防止病毒感染U盘和新系统）

显示全部楼层 · 发表于 2017-5-30 21:44:11

要是hips还没事，系统怎么可能完全挂掉

显示全部楼层 · 发表于 2017-5-30 21:49:04

nonote 发表于 2017-5-30 21:44
要是hips还没事，系统怎么可能完全挂掉

??至少病毒还在系统里，HIPS也只是我用来保护一个文件夹而已。

显示全部楼层 · 发表于 2017-5-30 21:52:07

你问这个问题说明你根本不知道勒索运行以后什么样子。。。

显示全部楼层 · 发表于 2017-5-30 22:03:53

1，勒索（软件）和感染型的病毒、木马不一样，它的目标很明确：加密重要文件勒索钱财；也就是说，它根本不想……也没有必要破坏系统（文件），既然如此又何来“破坏系统”之说？

2，呼应第1点，既然勒索并不是感染型的（像WannaCry，感染源并不是勒索程序本身，而是“永恒之蓝”），加密完后，勒索程序一般就会删除自身，留下勒索信息（图片、文本等）。

3，如果系统中了勒索，而HIPS保护了备份文档，那么楼主的问题就是：重装系统。

4，楼主是把【勒索程序】和【捆绑这个勒索程序的、带有感染性的木马、蠕虫】混为一谈。

显示全部楼层 · 发表于 2017-5-30 22:05:39

fireherman 发表于 2017-5-30 22:03
1，勒索（软件）和感染型的病毒、木马不一样，它的目标很明确：加密重要文件勒索钱财；也就是说，它根 ...

他干嘛要自己删除啊？

显示全部楼层 · 发表于 2017-5-30 22:06:05

Virus4 发表于 2017-5-30 21:52
你问这个问题说明你根本不知道勒索运行以后什么样子。。。

我当然不知道啊，这么多种可能！

显示全部楼层 · 发表于 2017-5-30 22:12:23

ysj963 发表于 2017-5-30 22:05
他干嘛要自己删除啊？

例如在样本区，同一个勒索软件，在你电脑里的密匙和我电脑里的就不一样；

一般的勒索软就是本地随机生成密匙，然后加密文件，难道还留个后患，让受害者做逆向编译等进行破解啊？

显示全部楼层 · 发表于 2017-5-30 22:20:56

本帖最后由 ysj963 于 2017-5-30 22:22 编辑

fireherman 发表于 2017-5-30 22:12
例如在样本区，同一个勒索软件，在你电脑里的密匙和我电脑里的就不一样；

一般的勒索软就是本地随 ...

那就是不用怕后续感染了？可以保护好备份GHOTS和资料就行了。对于破坏引导的病毒，是不是只要HIPS不让直接访问磁盘就行了？

显示全部楼层 · 发表于 2017-5-30 22:23:48

不知道解题思路对不对。
————
如果确认系统进程里面没有任何勒索相关进程存在/守护，
就是说确认勒索进程已经被强制结束或者自动退出/计算机隔离以后：
你可以用压缩软件比如 7zip 加密打包导出到移动设备啊，即时通讯传走啊，网盘上传啊！！
你想象的难度在于，勒索软件自始至终存在系统里面对不对？
双击勒索比较少，有一些情况加密完成会自动退出，有一些情况会监视用户操作，比如改名删除，新文件继续加密等。
那么，用户态进程，干掉它就是了！
————
你还可以拆硬盘当从盘使用啊。。。
——————
你还可以立即安装其他系统啊…………
————————
你还可以试试系统还原啊，很多勒索喜欢删掉还原点，就看你计算机习惯好不好了……
——————————
你还可以掏赎金期待黑客救赎啊！

[讨论] 谈一个实际问题