如何用vbs讀出檔案和隱藏
1。病毒版本
近日,安恆應急響應中心在持續關注GANDCRAB勒索病毒傳播情況時發現,目前該勒索病毒依然活躍,雖然病毒有多種傳播方式,但主要還透過郵件附件傳播較多,有偽裝成*。jpg或*。bmp的可執行檔案,有壓縮打包*。js檔案的,然後呼叫powershell下載加密程式,也有*。js直接釋放的版本,還有利用Office宏下載vbs指令碼再下載加密程式的等各種版本。
2。網路特徵
病毒執行時會請求www。kakaocorp。link這個C2域名,如果區域網出口流量監測到有對該域名的請求,表示網路中可能有主機已中招,需要及時排查,不過病毒後續版本可能會更改成其他C2域名,請及時關注最新安全預警。
3。主機防禦
建議在具有安全隔離的虛擬機器系統中開啟郵件附件,同時取消打勾“資料夾選項->檢視->隱藏已知檔案型別的副檔名”,這種狀態下可看到檔案實際副檔名,對*。jpg。exe、*。bmp。exe、*。js、*。vbs等可執行檔案謹慎點選(點選即會執行)。
4。病毒樣本
該勒索病毒目前是5。2版本,www。nomoreransom。org網站上可以找到針對V5。1之前部分版本的解密工具,但對5。2版本無效,一些5。2版本的樣本在2018年8月編譯,檔案是韓文的。doc文件(例如:。doc),透過Office宏下載vbs指令碼再下載加密程式,另一些JS直接釋放的版本編譯時間為2018年4月,VirusTotal中暫無記錄。
5。安全建議
對於勒索病毒的通用防護方案是合理的備份系統檔案(該病毒會透過vssadmin命令刪除本機卷影副本,因此最好把檔案備份到獨立儲存中),同時保持良好的在安全隔離虛擬機器系統中執行郵件附件的習慣,也可以部署必要的安全防護軟體攔截針對惡意加密行為的函式執行。