2016年7月30日 星期六

五隻勒索軟體感染測試,測試編號:160730


本文測試了五隻惡意的勒索軟體,分別用左右兩邊不同的資料夾視窗來做說明,左邊原始的檔案,經勒索軟體感染後都會被加密,右邊是備份王備份後的檔案,完全不受勒索軟體威脅!!



[1].
SHA256 檔名:0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3.exe

Virustotal 分析:
https://www.virustotal.com/en/file/0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3/analysis/

Malwr 分析:
https://malwr.com/analysis/NmZhMmRmZjViYTNmNDEyYjk2MjA5ODAzZWRlZDY0NmI/

執行後結果:
左方被加密的檔案附檔名會加上.micro,每個資料夾會多出一個html與文字檔,內容都是如何解密檔案。右方備份王備份的檔案完全不受影響。







[2].
SHA256 檔名
1d6a9b4fbc5ba85a59bbdb220ace330d278843111a2c25a6d95142e324fad62b.exe

Virustotal 分析:
https://www.virustotal.com/en/file/1d6a9b4fbc5ba85a59bbdb220ace330d278843111a2c25a6d95142e324fad62b/analysis/1454039348/

Malwr 分析:
https://malwr.com/analysis/NmZhMmRmZjViYTNmNDEyYjk2MjA5ODAzZWRlZDY0NmI/

執行後結果: 
左方被加密的檔案附檔名會加上.micro,每個資料夾會多出一個html與文字檔,內容都是如何解密檔案。右方備份王備份的檔案完全不受影響。





[3].
SHA256 檔名
f85e0364f7992cf94046434d874c7b6fa5ede3906c65c88910896383b5dfa37a.exe

Virustotal 分析:
https://www.virustotal.com/en/file/f85e0364f7992cf94046434d874c7b6fa5ede3906c65c88910896383b5dfa37a/analysis/1454911897/

Malwr 分析:
https://malwr.com/analysis/Zjg4MDQ1Nzg2ZWJhNDdjNWEyMzBjNDM5MjA3NjlkYWY/

執行後結果:
左方被加密的檔案被加密的檔案附檔名會加上.micro,每個資料夾會多出一個html與文字檔,內容都是如何解密檔案。右方備份王備份的檔案完全不受影響。







[4].
SHA256 檔名
2d5a58e719dba7c19b6dfc6f04a8c18ba0cc0164799d1cdad8f92d7762477b17.exe

Virustotal 分析:
https://www.virustotal.com/en/file/2d5a58e719dba7c19b6dfc6f04a8c18ba0cc0164799d1cdad8f92d7762477b17/analysis/

Malwr 分析:
https://malwr.com/analysis/YmNlYTAyOTBmOTViNDNjM2E4MzMwNDYzY2FmMWUxNTc/

執行後結果:
左方被加密的檔案附檔名維持一樣,每個資料夾會多出一個html, 圖片檔, 文字檔,內容都是如何解密檔案。右方備份王備份的檔案完全不受影響。




[5].
SHA256 檔名
24a2f1e4f0b621b76e30d27768f4343e1f8ba72d5c32483e42537aeab30abe7f.exe

Virustotal 分析:
https://www.virustotal.com/en/file/24a2f1e4f0b621b76e30d27768f4343e1f8ba72d5c32483e42537aeab30abe7f/analysis/

Malwr 分析:
https://malwr.com/analysis/ZGQ3YzUzYjU3MTVjNGMwM2FjYWE3MDQ1Y2VlYmI4OGM/

執行後結果:
左方被加密的檔案附檔名維持一樣,每個資料夾會多出一個html, 圖片檔, 文字檔,都是如何解密檔案。右方備份王備份的檔案完全不受影響。




總結:
勒索軟體家族變種很多,看似行為差不多,但還是有許多小差異。每隻勒索軟體感染後的情況不太一樣,但加密常見副檔名的檔案是標準動作。當我們使用將備份檔案進行了加密保護,再也不用擔心勒索軟體的對我們造成的威脅了。


使用備份王 (BackupKing) 備份的檔案皆不會受到勒索軟體影響,經測試都可以正確還原,可以保護您的重要檔案!!