2016年8月2日 星期二

勒索軟體感染測試,測試編號:160731

我們為了驗證勒索軟體選擇性加密檔案的方式,做了很多實驗。

本篇簡單挑選了兩隻勒索軟體來驗證,試試看勒索軟體會加密什麼樣的檔案。


1. 第一個實驗我們使用假檔進行感染測試,並與一般正常檔案做對照:
下圖藍框中是一般正常常見的文件檔案(xls, pdf, doc, pptx, xlsx, zip, rar),竟過勒索軟體感染,檔案都被加密了。

下圖紅框中是我們產生的假檔(檔案大小為0,副檔名包含jpg, xls, ppt, doc, png, zip, rar)都沒有被加密。

下圖綠框中呈現 .exe .dll .ini 這些執行檔及系統檔都沒有被異動到。







2. 第二個實驗我們將一個正常的WORD檔(1.doc)進行複製,並改副檔名測試勒索軟體是否會針對檔案標頭(Header)作檢查,或是只針對特定副名進行感染。從實驗過程中也可看出備份王加密備份後的檔案是否會受影響。

測試檔案及副檔名包含:
  • 1.doc (原始檔案)
  • 1.XXX
  • 1
  • 1.exe
  • 1.pp​s
  • 2.doc.xx​x
  • 1gfvtfugogog
  • 1encrypt (此為備份王加密後的檔案)
勒索軟體感染測試影片:

影片編號:160731-01
​說明:本次測試的勒索軟體屬於CryptoLocker2015家族
結果:只加密了原始檔案1.doc,1encrypt 不受影響其餘檔案更名回1.doc都可以正常開啟。


影片編號:160731-02
說明:本次測試的勒索軟體屬於CryptoLocker2015家族
結果:只加密了1.doc ; 1.XXX ; 2.doc.xxx,1encrypt 不受影響其餘檔案更名回1.doc都可以正常開啟



實驗結論:
勒索軟體會優先針對特定副檔名加密,或是檔案大小不為0的檔案進行加密。但每隻勒索軟體的特性不太一樣,以上測試可能只是特定勒索軟體之行為,我們也將持續再進行測試實驗。

​使用備份王 (BackupKing) 備份的檔案不會受到勒索軟體影響,經測試都可以正確還原,可以保護您的重要檔案!!