關於勒索病毒的資料

資訊安全勒索病毒

seeyounow 2016-12-22 09:15:15 ‧ 14971 瀏覽

分享至

有地方是可以查勒索病毒副檔名的嗎，因為之前遇過附檔名是S開頭的，可是忘記了，想查一下完整的附檔名

窮嘶發發發 iT邦高手 1 級 ‧ 2016-12-22 11:12:47 檢舉

基本上，這兩三年來，變種的就不知道多少種了，每一種的附檔名都不同，如果是 S開頭的，有勒索也有詐騙的好幾種
所以要單從一個開頭的字，要想到哪一種，還蠻難的耶

seeyounow iT邦新手 5 級 ‧ 2016-12-22 11:15:51 檢舉

比較常見的或可以舉例幾個嗎，感謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

小茶

iT邦新手 4 級 ‧ 2016-12-22 11:28:43

最佳解答

常見的有.mp3, .crypto, .abc 新版本的像是 .Thor, .odin, .osiris, .sage
族繁不及備載....
是.sage嗎

勒索病毒加密後的副檔名有超多種的耶,
隨著病毒版本更新或病毒的來源地, 還有作者的習慣讓這些被加密的副檔名不一樣,
要找的話可以看一下過去曾經中獎的苦主們善哉善哉
比方說ptt版上戰略高手\軟體(DigitalWare)\防毒(AntiVirus)裡有各種版本受害者，可以從裡面去搜尋。

不過就像虎虎大大說的~平時檔案資料要做好定期備份
尤其是重要的檔案

千萬要備份

因為被勒索後不給錢買鑰匙是不太可能復原的，畢竟RSA加密也不是鬧著玩的。

維基 - RSA加密法
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

回應
分享
檢舉

登入發表回應

虎虎

iT邦研究生 5 級 ‧ 2016-12-22 10:35:21

太多了欸…
勒索病毒就是用特殊的加密方式讓你沒辦法正常使用，通常是包一層包裝紙的概念(？)
所以才要錢去把包裝紙拆掉 XD

遇過的樣本副檔名有太多格式了，像說有.mp3、.docx或一般能執行的檔案都可能偽裝…
應該不會有固定，而且會一直更新擴充…
而且當然網址連結也可能造成中勒索病毒的方式之一，

可疑來源網址或檔案不要點就對了 XD
呀！記得要定期備份！ XD

//而且要檢查備份檔裡面有沒有真的備份完整…

回應 3
分享
檢舉

seeyounow iT邦新手 5 級 ‧ 2016-12-22 10:57:50 檢舉

阿，這我都知道啦，我只是忘記那個病毒改的副檔名，想知道一下，還是謝謝你的建議...

weiclin iT邦高手 4 級 ‧ 2016-12-22 11:11:23 檢舉

poiu124pat iT邦新手 2 級 ‧ 2017-04-04 15:29:21 檢舉

你所知道的和我所知道的不一樣，勒索病毒並不是用什麼特殊的加密法，反而用的是很常見的加密法(如RSA)，也因為使用的是常見的加密法，加密的速度快，程式又簡單，破解又困難！
無法解開的原因是加密通常需要公鑰與私鑰，而加密後的私鑰在對方手中，在沒有私鑰的方式下要解開以現今的電腦技術來說需要大量的資源與時間，成本計算是划不來的。

登入發表回應

facelessman

iT邦新手 5 級 ‧ 2016-12-22 23:42:29

我幫你整理了以下：

Zepto
加密後產生的副檔名:.zepto
說明：http://blog.trendmicro.com.tw/?p=25056
Locky
加密後產生的副檔名:.locky(最常見)
說明： http://blog.trendmicro.com.tw/?p=16651
Chimera
加密後產生的副檔名:.crypto
說明： http://www.freebuf.com/articles/system/112142.html
Cryptolocker
加密後產生的副檔名:過多以網址呈現(https://tinyurl.com/gpx3dmo)
說明：https://zh.wikipedia.org/wiki/CryptoLocker
Cryptowall
加密後產生的副檔名:隨機產生
說明：http://www.ithome.com.tw/news/99868
TeslaCrypt
加密後產生的副檔名:4.0版後不添加副檔名
說明：https://zh.wikipedia.org/wiki/TeslaCrypt
Pacman
加密後產生的副檔名:.ENCRYPTED
說明：(英文)http://www.pcworld.com/article/2904016/ransomware-alert-pacman-scheme-uses-dropbox-link-to-gobble-victims.html
Crysis
加密後產生的副檔名:.CrySis(最常見)
說明：(英文)http://www.welivesecurity.com/2016/11/24/new-decryption-tool-crysis-ransomware/
CERBER
加密後產生的副檔名:4.0版後隨機產生
說明：http://www.freebuf.com/articles/system/116761.html
MIRCOP
加密後產生的副檔名:.Lock
說明：(英文)http://www.securityweek.com/mircop-ransomware-claims-be-victim-demands-payback
JIGSAW
加密後產生的副檔名:.fun
說明：http://blog.trendmicro.com.tw/?p=17619
zCrypt
加密後產生的副檔名:.ZCRYPT
說明：http://blog.trendmicro.com.tw/?p=18233#more-18233
PowerWare
加密後產生的副檔名:不變
說明：http://www.freebuf.com/articles/system/101464.html
Petya
加密後產生的副檔名:無(此加密步驟與其勒索軟件不同)
說明：(英文)https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/
HydraCrypt
加密後產生的副檔名:hydracrypt_ID_8隨機亂數
說明：(英文)https://securingtomorrow.mcafee.com/mcafee-labs/hydracrypt-variant-of-ransomware-distributed-by-angler-exploit-kit/
RAA Ransomware
加密後產生的副檔名:.lock
說明：https://unwire.pro/2016/06/17/ransomware-raa-created-by-javascript-entirely/news/