求助，勒索病毒感染共享文件

woshidc523 · 发表于 2018-1-9 10:56:42

最近在分析一个勒索病毒，本地文件被这个勒索病毒进程加密，无可厚非，共享文件在本地也被加密，也算正常。
但是我在发起共享文件的计算机上，用processmonitor监控的时候发现，在这个电脑上，其实已经和病毒没什么关系了，这边的修改system进程把文件的操作在本地重现了一遍而已。
计算机A发起共享，计算机B感染病毒。然后A的共享文件也被加密了，但是这边的加密方式其实就是system重现了勒索病毒在B上的加密操作。

我用文件系统过滤，想拦截文件修改的操作，但是我发现完全没有拦住，或者说有时候生效，有时候无效，感觉整个人都不好了...
生效的时候，可以拦住部分文件修改
不生效的时候，做拦截和不做没啥区别...

其实网上也有类似讨论，但是有效信息太少。而且我的问题也比较蒙蔽，希望大神们看到我的帖子能帮忙回复~~~跪谢大婶们~~~

Tesla.Angela · 发表于 2018-1-12 09:45:22

按理说，如果你用MINIFILTER过滤了IRP_MJ_CREATE和IRP_MJ_NETWORK_QUERY_OPEN，所有文件操作都会在打开的时候被拦截到。

woshidc523 · 发表于 2018-1-16 18:44:18

本帖最后由 woshidc523 于 2018-1-16 18:45 编辑

感谢TA大大！
看过堆栈分析了一下，自己估摸着应该是越过驱动拦截了，不过其他同事已经解决了，老夫也问不到什么有效信息...

Tesla.Angela · 发表于 2018-1-25 21:22:05

woshidc523 发表于 2018-1-16 18:44
感谢TA大大！
看过堆栈分析了一下，自己估摸着应该是越过驱动拦截了，不过其他同事已经解决了，老夫也问不 ...

访问文件是一定需要句柄的。如果这货没有驱动，想越过驱动拦截是不可能的。当然驱动自身有漏洞另说。

woshidc523 · 发表于 2018-1-30 16:56:57

因为是在另外一台电脑上对共享文件夹进行感染，所以在发起共享的电脑来说，应该就是通过system重复一下操作，用ProcessMonitor都能看到，应该是我们自己的驱动没有拦截，但是为什么没有拦截，我这个新职员就不知道了。。。。。。

帐号		自动登录	找回密码
密码			加入我们