在某些情況下,加密惡意軟體專家/研究人員 需要惡意軟體檔案本身的樣本進行分析 ,以便在任何人確定他們是否可以提供幫助之前正確識別勒索軟體。 您懷疑參與導致感染的任何可疑可執行檔案(安裝程式、惡意檔案)的樣本都可以提交(上傳)到 VirusTotal ,並 結果的連結 提供指向您正在接受幫助的主題中的 。 這是共享惡意軟體的最安全方式,因為只有經過審查的研究人員才能存取它。
對於以下場景尤其需要惡意軟體樣本:
- 沒有贖金字條(及其內容)或如果這是新的東西。
- 沒有勒索信(及其內容),或加密文件中沒有文件標記,或這是新內容。
- 沒有勒索信(及其內容),或加密檔案中沒有副檔名或檔案標記,或這是新內容。
- ,幾乎不可能識別感染 當擴展名是隨機或通用且加密檔案中沒有檔案標記時,如果沒有惡意軟體本身的樣本 或 勒索訊息 。
以下是一些 常見資料夾變數 位置: 已知隱藏惡意可執行檔 、 .dll 和相關檔案的
- %系統驅動器%\ (C:\)
- %SystemDrive%\下載(C:\下載\)
- %SystemRoot%(C:\Windows、%WinDir%)
- %UserProfile% (C:\Users\使用者名稱\)
- %UserProfile%\Downloads (C:\Users\使用者名稱\Downloads\)
- %UserProfile%\AppData\Roaming\
- %所有用戶設定檔%
- %應用程式數據%
- %AppData%\本地\臨時\
- %本地應用程式資料%
- %ProgramData%(C:\ProgramData\ 和子資料夾 )
- %Temp%(C:\Windows、%UserProfile%\%AppData%\Local\)
注意:某些資料夾(如 %AppData%)被作業系統隱藏,因此您可能需要設定 Windows 以 顯示隱藏的檔案和資料夾 。
請同時檢查防毒和其他安全掃描工具的歷史日誌和隔離資料夾,看看它們是否發現並刪除了可能與勒索軟體相關的任何惡意軟體。
勒索軟體受害者的 IT 人員和進階使用者可以使用 Farbar 復原掃描工具 (FRST) ,這是一種高級專用工具,旨在調查惡意檔案。 FRST 日誌提供有關您的系統、註冊表加載點、服務、驅動程式服務、Netsvcs 條目、已知 DLL、驅動器、分區規範的詳細信息,並且還將列出可能被惡意軟體修補的系統檔案。 請勿發布 FRST 日誌 … 此論壇不允許 發布此類日誌。
,從而導致檔案無法分析和解密,這種情況並不罕見 故意刪除自身 (惡意負載) 加密過程後 注意:導致某些勒索軟體感染的惡意軟體在執行 。 如果是這種情況,受害者可能找不到任何惡意可執行檔。
注意: 對於使用 NAS 基於 Linux 的 (網路附加儲存)裝置的受害者來說,惡意軟體很可能會感染基於 Windows 的電腦並透過網路對 NAS 進行加密 。 犯罪分子還可以透過 Samba / SMB (伺服器訊息區塊)進行連接,並從其係統運行惡意軟體,以透過互聯網加密文件,這本質上與透過網路映射驅動器加密文件相同。
