查看單個文章
舊 2018-07-12, 08:00 PM   #6 (permalink)
mini
管理版主
 
mini 的頭像
榮譽勳章
UID - 4144
在線等級: 級別:85 | 在線時長:7710小時 | 升級還需:30小時級別:85 | 在線時長:7710小時 | 升級還需:30小時級別:85 | 在線時長:7710小時 | 升級還需:30小時級別:85 | 在線時長:7710小時 | 升級還需:30小時級別:85 | 在線時長:7710小時 | 升級還需:30小時
註冊日期: 2002-12-07
文章: 11818
精華: 0
現金: 22861 金幣
資產: 3020201 金幣
預設

這有一篇防毒公司的文章
http://esupport.trendmicro.com/zh-tw...rd/201403.aspx

裡面一段文字提到
===========
在 2013 年的最後幾週,有一些變種勒贖軟體自稱為 Cryptorbit,要求受害者使用 Tor 瀏覽器(帶有預先 Tor 設定的瀏覽器)支付贖金。該名稱可能來自於惡名昭彰的 CryptoLocker 惡意軟體。
===========

所以看來是個老技倆新變種
是沒錯的...

只不過魔王這起事件
使用話語技巧好比 "罵人不帶髒" (讓你第一時間不知是起 非法綁架事件)
讓人帶著 去了指定網址再說的 想法
一步步的誘拐付錢

+++++++++++++++
而該文提到
Svchost.exe 程序崁入式技巧
讓你錯估 "Svchost.exe是微軟程序,而不知中毒"
所以前文提到 "看看是否有不明程序讓CPU標高"
就沒這麼單純了
還要看飆高的 Svchost.exe程序 其後綴參數如何...
如是這樣...

以mini曾經的經驗
.要看程序的磁碟讀取/寫入量 是否異常 (巨量的傳統硬碟IO存取會拖慢 CPU time,如使用SSD會有沒法即時得知的後果...)
.加上 程序Start Time是否為最近時刻
就能判斷出來...

以前曾經寫過的 NOKidnap(反勒索-即刻攔截)
用了三種防堵技巧,其中兩種就是分析 【Start Time】及【崁入式程序之 後綴參數】
只是後來用 64bit Win 10 後與變種無緣就沒再維護了

此帖於 2018-07-12 08:20 PM 被 mini 編輯.
mini 目前離線  
送花文章: 1684, 收花文章: 7402 篇, 收花: 25798 次
回覆時引用此帖
有 4 位會員向 mini 送花:
a471 (2018-07-14),getter (2018-07-12),Phantom (2018-07-15),魔術王子 (2018-07-12)
感謝您發表一篇好文章