求助,勒索病毒感染共享文件
最近在分析一个勒索病毒,本地文件被这个勒索病毒进程加密,无可厚非,共享文件在本地也被加密,也算正常。但是我在发起共享文件的计算机上,用processmonitor监控的时候发现,在这个电脑上,其实已经和病毒没什么关系了,这边的修改system进程把文件的操作在本地重现了一遍而已。
计算机A发起共享,计算机B感染病毒。然后A的共享文件也被加密了,但是这边的加密方式其实就是system重现了勒索病毒在B上的加密操作。
我用文件系统过滤,想拦截文件修改的操作,但是我发现完全没有拦住,或者说有时候生效,有时候无效,感觉整个人都不好了...
生效的时候,可以拦住部分文件修改
不生效的时候,做拦截和不做没啥区别...
其实网上也有类似讨论,但是有效信息太少。而且我的问题也比较蒙蔽,希望大神们看到我的帖子能帮忙回复~~~跪谢大婶们~~~ 按理说,如果你用MINIFILTER过滤了IRP_MJ_CREATE和IRP_MJ_NETWORK_QUERY_OPEN,所有文件操作都会在打开的时候被拦截到。 本帖最后由 woshidc523 于 2018-1-16 18:45 编辑
感谢TA大大!
看过堆栈分析了一下,自己估摸着应该是越过驱动拦截了,不过其他同事已经解决了,老夫也问不到什么有效信息... woshidc523 发表于 2018-1-16 18:44
感谢TA大大!
看过堆栈分析了一下,自己估摸着应该是越过驱动拦截了,不过其他同事已经解决了,老夫也问不 ...
访问文件是一定需要句柄的。如果这货没有驱动,想越过驱动拦截是不可能的。当然驱动自身有漏洞另说。 因为是在另外一台电脑上对共享文件夹进行感染,所以在发起共享的电脑来说,应该就是通过system重复一下操作,用ProcessMonitor都能看到,应该是我们自己的驱动没有拦截,但是为什么没有拦截,我这个新职员就不知道了。。。。。。
页:
[1]