Windows 遠端桌面入侵實錄 - 勒索病毒案例

大家好這個是網絡上某個人入侵我的一部電腦然後執行勒索病毒將我的檔案加密的一個真實過程接下來我們來看一下, 這個壞蛋他是怎麼做的一開始呢他先看一下這部電腦的狀況比方說有沒有執行防毒軟件之類的好, 他發現了這一台有安裝防毒軟件所以呢, 他就先試着要把這個防毒軟件破壞掉或者移除那因為有設密碼所以沒有辦法直接被移除好,
移除失敗之後呢他就想要做其他事情看起來他想要做複製貼上的動作因為我這一部電腦有設定剪貼簿的功能是關掉的所以他現在試着想要把剪貼簿的功能恢復出現一個很大的眼睛這個是我執行的一個小程式只是好玩而已, 這個沒有什麼功能他把我的眼睛關掉了還是想要做貼上的動作有些人呢, 複製貼上一直沒辦法處理他就會放棄就會走掉了可是這個人呢, 再接再厲他絲毫不放棄,
這種精神是對的可惜他用在做壞事情上面接下來呢, 他想要下載檔案我們來看一下, 它是下載什麼檔案他下載的這個是防毒軟件的移除程式這是原廠提供的移除程式所以, 他是可以把防毒軟件移除掉的可是,
因為他現在登入的帳號是一般user的權限所以呢, 沒辦法執行這個程式好, 重點來了, 真正的勒索病毒要出現了他接下來要再下載另外一個程式下載這個是一個文字檔,
如畫面上看到這個就可以理解為什麼他前面一直想要做貼上的動作因為他就要貼上這一段文字那這一段文字其實就是勒索病毒所以呢, 我們可以看到工作管理員裏面有 powershell.exe
這個程式在執行沒錯, 這個勒索病毒它就是藉由 powershell 來執行的那這時候呢勒索病毒已經開始在運作了待會在這個畫面開始附近會多跑一個程式出來跑出來了跑出來了多了一個文字檔,
這個就是勒索病毒留下的訊息告訴你, 要到哪裏付錢, 付比特幣給他之類的訊息這時候背景它一直在加密檔案因為這個壞人他整個作業過程我都在旁邊看到所以, 我確定他的勒索病毒程式已經啟動而且實際有成功的運行之後我就透過遠端去發送一個指令把我的某一個資料夾打開來可以確定,
你看畫面上就可以確定說大量的檔案都已經是被加密了希望大家都能注意安全問題不要讓這些網絡上的壞蛋有機可趁今天影片就到此為止謝謝觀賞