我們為了驗證勒索軟體選擇性加密檔案的方式,做了很多實驗。
本篇簡單挑選了兩隻勒索軟體來驗證,試試看勒索軟體會加密什麼樣的檔案。
1. 第一個實驗我們使用假檔進行感染測試,並與一般正常檔案做對照:
下圖藍框中是一般正常常見的文件檔案(xls, pdf, doc, pptx, xlsx, zip, rar),竟過勒索軟體感染,檔案都被加密了。
本篇簡單挑選了兩隻勒索軟體來驗證,試試看勒索軟體會加密什麼樣的檔案。
1. 第一個實驗我們使用假檔進行感染測試,並與一般正常檔案做對照:
下圖藍框中是一般正常常見的文件檔案(xls, pdf, doc, pptx, xlsx, zip, rar),竟過勒索軟體感染,檔案都被加密了。
下圖紅框中是我們產生的假檔(檔案大小為0,副檔名包含jpg, xls, ppt, doc, png, zip, rar)都沒有被加密。
下圖綠框中呈現 .exe .dll .ini 這些執行檔及系統檔都沒有被異動到。
2. 第二個實驗我們將一個正常的WORD檔(1.doc)進行複製,並改副檔名,測試勒索軟體是否會針對檔案標頭(Header)作檢查,或是只針對特定副名進行感染。從實驗過程中也可看出備份王加密備份後的檔案是否會受影響。
測試檔案及副檔名包含:
- 1.doc (原始檔案)
- 1.XXX
- 1
- 1.exe
- 1.pps
- 2.doc.xxx
- 1gfvtfugogog
- 1encrypt (此為備份王加密後的檔案)
勒索軟體感染測試影片:
影片編號:160731-01
說明:本次測試的勒索軟體屬於CryptoLocker2015家族
結果:只加密了原始檔案1.doc,1encrypt 不受影響,其餘檔案更名回1.doc都可以正常開啟。
影片編號:160731-01
說明:本次測試的勒索軟體屬於CryptoLocker2015家族
結果:只加密了原始檔案1.doc,1encrypt 不受影響,其餘檔案更名回1.doc都可以正常開啟。
影片編號:160731-02
說明:本次測試的勒索軟體屬於CryptoLocker2015家族
結果:只加密了1.doc ; 1.XXX ; 2.doc.xxx,1encrypt 不受影響,其餘檔案更名回1.doc都可以正常開啟
實驗結論:
勒索軟體會優先針對特定副檔名加密, 或是檔案大小不為0的檔案進行加密。但每隻勒索軟體的特性不太一樣, 以上測試可能只是特定勒索軟體之行為,我們也將持續再進行測試實驗。
使用備份王 (BackupKing) 備份的檔案皆不會受到勒索軟體影響,經測試都可以正確還原,可以保護您的重要檔案!!