iT邦幫忙

0

關於勒索病毒的資料

有地方是可以查勒索病毒副檔名的嗎,因為之前遇過附檔名是S開頭的,可是忘記了,想查一下完整的附檔名

基本上,這兩三年來,變種的就不知道多少種了,每一種的附檔名都不同,如果是 S開頭的,有勒索也有詐騙的好幾種
所以要單從一個開頭的字,要想到哪一種,還蠻難的耶
seeyounow iT邦新手 5 級 ‧ 2016-12-22 11:15:51 檢舉
比較常見的或可以舉例幾個嗎,感謝
3
小茶
iT邦新手 5 級 ‧ 2016-12-22 11:28:43
最佳解答

常見的有.mp3, .crypto, .abc 新版本的像是 .Thor, .odin, .osiris, .sage
族繁不及備載....
是.sage嗎

勒索病毒加密後的副檔名有超多種的耶,
隨著病毒版本更新或病毒的來源地, 還有作者的習慣讓這些被加密的副檔名不一樣,
要找的話可以看一下過去曾經中獎的苦主們/images/emoticon/emoticon02.gif善哉善哉
比方說ptt版上 戰略高手\軟體(DigitalWare)\防毒(AntiVirus)裡有各種版本受害者,可以從裡面去搜尋。


不過就像虎虎大大說的~平時檔案資料要做好定期備份
尤其是重要的檔案

千萬要備份

千萬要備份

千萬要備份

因為被勒索後不給錢買鑰匙是不太可能復原的,畢竟RSA加密也不是鬧著玩的。

維基 - RSA加密法
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

2
虎虎
iT邦新手 4 級 ‧ 2016-12-22 10:35:21

太多了欸…
勒索病毒就是用特殊的加密方式讓你沒辦法正常使用,通常是包一層包裝紙的概念(?)
所以才要錢去把包裝紙拆掉 XD

遇過的樣本副檔名有太多格式了,像說有.mp3、.docx或一般能執行的檔案都可能偽裝…
應該不會有固定,而且會一直更新擴充…
而且當然網址連結也可能造成中勒索病毒的方式之一,

可疑來源網址或檔案不要點就對了 XD
呀!記得要定期備份! XD

//而且要檢查備份檔裡面有沒有真的備份完整…

seeyounow iT邦新手 5 級 ‧ 2016-12-22 10:57:50 檢舉

阿,這我都知道啦,我只是忘記那個病毒改的副檔名,想知道一下,還是謝謝你的建議...

weiclin iT邦高手 7 級 ‧ 2016-12-22 11:11:23 檢舉

/images/emoticon/emoticon12.gif

你所知道的和我所知道的不一樣,勒索病毒並不是用什麼特殊的加密法,反而用的是很常見的加密法(如RSA),也因為使用的是常見的加密法,加密的速度快,程式又簡單,破解又困難!
無法解開的原因是加密通常需要公鑰與私鑰,而加密後的私鑰在對方手中,在沒有私鑰的方式下要解開以現今的電腦技術來說需要大量的資源與時間,成本計算是划不來的。

3
facelessman
iT邦新手 5 級 ‧ 2016-12-22 23:42:29

我幫你整理了以下:

  1. Zepto
    加密後產生的副檔名:.zepto
    說明:http://blog.trendmicro.com.tw/?p=25056
  2. Locky
    加密後產生的副檔名:.locky(最常見)
    說明: http://blog.trendmicro.com.tw/?p=16651
  3. Chimera
    加密後產生的副檔名:.crypto
    說明: http://www.freebuf.com/articles/system/112142.html
  4. Cryptolocker
    加密後產生的副檔名:過多以網址呈現(https://tinyurl.com/gpx3dmo)
    說明:https://zh.wikipedia.org/wiki/CryptoLocker
  5. Cryptowall
    加密後產生的副檔名:隨機產生
    說明:http://www.ithome.com.tw/news/99868
  6. TeslaCrypt
    加密後產生的副檔名:4.0版後不添加副檔名
    說明:https://zh.wikipedia.org/wiki/TeslaCrypt
  7. Pacman
    加密後產生的副檔名:.ENCRYPTED
    說明:(英文)http://www.pcworld.com/article/2904016/ransomware-alert-pacman-scheme-uses-dropbox-link-to-gobble-victims.html
  8. Crysis
    加密後產生的副檔名:.CrySis(最常見)
    說明:(英文)http://www.welivesecurity.com/2016/11/24/new-decryption-tool-crysis-ransomware/
  9. CERBER
    加密後產生的副檔名:4.0版後隨機產生
    說明:http://www.freebuf.com/articles/system/116761.html
  10. MIRCOP
    加密後產生的副檔名:.Lock
    說明:(英文)http://www.securityweek.com/mircop-ransomware-claims-be-victim-demands-payback
  11. JIGSAW
    加密後產生的副檔名:.fun
    說明:http://blog.trendmicro.com.tw/?p=17619
  12. zCrypt
    加密後產生的副檔名:.ZCRYPT
    說明:http://blog.trendmicro.com.tw/?p=18233#more-18233
  13. PowerWare
    加密後產生的副檔名:不變
    說明:http://www.freebuf.com/articles/system/101464.html
  14. Petya
    加密後產生的副檔名:無(此加密步驟與其勒索軟件不同)
    說明:(英文)https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/
  15. HydraCrypt
    加密後產生的副檔名:hydracrypt_ID_8隨機亂數
    說明:(英文)https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/
  16. RAA Ransomware
    加密後產生的副檔名:.lock
    說明:https://unwire.pro/2016/06/17/ransomware-raa-created-by-javascript-entirely/news/

或許這對你有幫助 --> https://redd.it/46361k

希望我有幫上忙,以上皆為我所整理。

我要發表回答

立即登入回答