以勒索病毒示范ESET防毒软体的功能.PDFVIP

以勒索病毒⽰範 ESET 防毒 體的功能 © 2016 席克資訊有限公司 htt ps://.tw/ 更 ⽇期 ：2016/3/23 最近勒索病毒⼤量透過電⼦郵件散播 ，有些使⽤者成為受害者 ，⾯對來路不明的信件 ，就這麼隨意開啟附件 ， 不知是好奇⼼太強 ？還是太勇敢 ？但這就像詐騙⼀般 ，總是有⼈會上當 。本⽂藉 由勒索病毒來介紹 ESET 防毒 軟體的幾個功能 ，希望讓⼤家對現今的防毒軟體有 的認識 ，不要還停留在單純靠病毒碼辨識病毒的舊觀念 。 ⾸先在無病毒防護的狀態下 ，故意執⾏勒索病毒 ，確認此病毒是有效的 。請看影⽚1 htt ps://youtu.be/3- E_W rVSh8k 資料夾 ERA 6 裡⾯有許多 PDF 檔 ，隨意開意其中⼆個 ，確認檔案是好的 。 桌⾯上的 SKMBT_C48677022466188.zip 是今天凌晨寄來的勒索病毒電⼦郵件的附件 ，開啟壓縮檔裡⾯ .js 檔案 ， 沒多久在 Process Ex plorer 視窗裡⾯可以看到有⼀個 RY MdDzYC.exe 檔案在執⾏ ，這就是勒索病毒 。檔案 在 C:\ Documents and Settings\Steven\ Local Settings\Temp 裡⾯ 。 ⼤約在 1:10 秒的位置 ，可以看到 ERA 6 及桌⾯的檔名被改變了 ，此時檔案已經被加密 ，無法救回來了 。緊 接著 ，勒索病毒的訊息相繼 出現 。這部電腦已經成為受害者 。 接下來⽰範 ，如果在有安裝 ESET 防毒軟體(此影⽚以 ESET Endpoint A ntivirus 6.3.2016.1 為例) ，會發⽣什麼 狀況 。請看影⽚2 htt ps://youtu.be/4 ISC3 IOyOvs ⾸先顯⽰ ESET 防毒軟體的資訊 ，並更 病毒碼 。 然後如同影⽚1 ，執⾏ 同樣的勒索病毒 ，執⾏後 ，ESET 防毒軟體陸續 出現封鎖網址的訊息 。因為最近勒索 病毒電⼦郵件附件裡 的 .js 的檔案 ，實際上並沒有加密的功能 ，很單純只是到某些網址下載檔案來執⾏ ，所 以如果下載的動作被攔截了 ，病毒根本沒有機會執⾏ 。 好 ，那假設前⼀道程序失效了 ，檔案 (影⽚1 的 RY MdDzYC.exe) 被下載回來執⾏會發⽣什麼事 ？我事先⼿ 動下載好放在桌⾯上 ，執⾏後 ，在 Process Ex plorer 視窗確認已經啟動 。稍等這個勒索病毒開始運作之 後 ，ESET 防毒軟體⼜開始 出現封鎖網址的訊息 。因為勒索病毒必須要傳 回某些訊息 ，否則它怎麼知道哪 ⼀部電腦解密的 Key 是什麼 ？到此為⽌ ，ESET 防毒軟體的 Web 存取防護 功能發揮第⼀道關卡 ，成功阻 擋 了這個勒索病毒 。 為了進⼀步測試 ，接下來我故意關掉 Web 存取防護 ，讓勒索病毒可以成功連上它想要連線的 ⽬標 。此時 RY MdDzYC.exe 繼續執⾏ ，緊接著 ESET 再度彈出訊息 ，偵測到記憶體中的 RY MdDzYC.exe 是 Win32/ Filecoder.Locky.B ⽊⾺的⼀個變種 。從 Process Ex process 視窗可以發現 RY MdDzYC.exe 已經關 閉了 。這個功能是 ESET 防毒軟體的 進階記憶體掃描 技術 ，因為病毒為了躲避防毒軟體的偵測 ，通常會採 ⽤偽裝或加密等各種技術 ，但是程式⼀旦在記憶體中執⾏ ，就會恢復本來該有的⾯貌 ，以這個例⼦來說 ， 進階記憶體掃描就能判斷出這個檔案是 Win32/ Filecoder.Locky.B 。 接下來⽤ ESET 防毒軟體掃描 C:\ Documents and Settings\S