V2EX › acess 的所有回复 › 第 94 页 / 共 113 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 90 91 92 93 94 95 96 97 98 99 ... 113

❮

❯

2017-05-15 18:32:04 +08:00

回复了 sunsol 创建的主题 › 问与答 › 关于那个比特币病毒，真有人支付成功后解除病毒吗？

@liaoyaoheng 是的，拼 RP 啊。而且如果是 SSD，很可能直接被 TRIM 掉了，啥也恢复不出来……

2017-05-15 15:35:17 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

@Domains
已经有 Petya 这个 MBR 里的勒索软件了。蓝屏强制重启，重启时伪装成磁盘检查，实际上是执行加密。
不过它用了被弱化的加密算法，被安全研究人员爆破了，即使不爆破，加密的也只有 MFT，找个 DiskGenius 仍然可以扫出文件来……说这些都跑题了，如果 WanaCry 也想到类似的思路了，可能只是编程麻烦一些，能产生的危害可能比现在还大。

2017-05-15 13:47:37 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

@Domains MBR Bootkit 完全可以做到一个文件不“落地”啊。
如果 MBR 是文件，那是不是能说一切皆文件……

2017-05-15 10:33:24 +08:00

回复了 acess 创建的主题 › 问与答 › 可以利用反删除软件找回被 WanaCry 勒索蠕虫加密的文件么？

@peng1994 虚拟机测试，虽然离加密只过去几分钟，但仍然有文件损坏。
所以……我觉得不太乐观。
如果是 SSD，大概直接会被 TRIM 掉……

2017-05-15 09:07:13 +08:00

回复了 acess 创建的主题 › 问与答 › 可以利用反删除软件找回被 WanaCry 勒索蠕虫加密的文件么？

@murmur 我记得文件粉碎工具也是先覆盖文件内容再删除吧，Linux 下的 shred 甚至不会帮你删文件，只帮你覆盖。文件删了，具体占用哪些 block 不就难以定位了吗？就算能定位，难道要绕过操作系统……把可用空间（按照 Eraser 软件的情况，可能还需要包括 cluster tip ？）全部覆盖一遍肯定也行，但更麻烦。

2017-05-15 08:52:14 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

@Technetiumer
“该病毒是先在本地生成加密密钥，加密完才上传至服务器，察觉的快的话，没有杀软的情况下也可能挽救文件。”
不知道这贴来自几楼？
按照目前的分析，这病毒加密一个文件换一个密钥，是严谨 /恶毒的表现。虽然它确实干了强行获取文件可写权限、忘记抹掉未加密原始文件等错误，但我觉得本地生成加密密钥真的是亮点……（但如果病毒没及时从内存中清除掉私钥，折腾那么多就完全没意义了，内存 dump 即可破之）

2017-05-15 08:43:03 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

@Domains
MBR 木马“暗云”不就没有实体文件……
还有 IDM 啥时候有安全功能了，万一人家不用 HTTP 协议呢？

2017-05-15 08:38:34 +08:00

回复了 yicun 创建的主题 › 分享发现 › WanaCrypt0r 勒索病毒： 19 款杀软主防测试

这个东西主要还是靠神洞 eternalblue 传播的吧？不知道这和直接双击会不会产生不同的结果。原帖作者是直接双击的，并不是另找一台虚拟机来感染它。

2017-05-15 08:25:53 +08:00

回复了 acess 创建的主题 › 问与答 › 可以利用反删除软件找回被 WanaCry 勒索蠕虫加密的文件么？

@zander LZ 确实是外行……如果这贴只起到增加噪音的作用，把它沉了我也没啥好说的……

2017-05-15 01:29:19 +08:00

回复了 baskice 创建的主题 › 问与答 › 现在杀毒软件的作用只剩下主动防御了吗？

@Technetiumer 点水不漏的勒索需要收集足够的熵……不知道这个有没有可能作为检测的“靶标”？