瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 个人电脑该如何对付勒索病毒
dg1vg4 - 2018-11-25 21:53:00
我将试图以简洁易懂的说法简单说一下被勒索病毒感染该怎么办。


本文将长期更新施工。


用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
dg1vg4 - 2018-11-25 21:53:00
正所谓“对症下药”,下面先搞清楚有哪些常见的勒索。



①        文件加密类勒索。


这类勒索是最为麻烦的,首先文件加密这样一个过程在计算机中是一个黑箱过程,软件很难在逻辑上判断一个程序是否在执行加密操作。而且计算机中涉及文件加密的操作非常之多,更不要说去判断一个加密操作是否出于恶意。


目前能解密的只有三种情况:
1、恶意软件编写者犯了一个算法上的错误,因此被加密的文件得以破解。
2、恶意软件的编写者感到内疚,因此发布了密钥或主密钥。
3、执法机构搜获一台带有密钥的服务器并进行了分享。


如果是你运气好碰上以上这三种情况还好,如果碰不上,那么你的文件除非交赎金,否则基本上完蛋。事实上,有的时候你交了赎金也不会得到解密密钥,比如说Petya,简直就是为了通过加密来实现破环文件的目的。更多可以了解:http://it.rising.com.cn/fanglesuo/


本文将在接下来的内容里重点讲解此类勒索病毒的解决方法。


②        MBR锁机勒索


这类勒索病毒我们在贴吧里见的比较多,事实上,这类病毒可以批量生产,我还见到过这类病毒的生成器,自定义密码以及显示内容。但是,由于修改MBR分区表是一个非常明显的大动作,因而比较容易防御,比如说瑞星之剑就可以防御这类威胁,也是可免赎金解救。有教程:http://beikeit.com/post-869.html 讲解如何使用Windows PE手动修复。实在不懂的话把电脑搬去电脑维修店,问题基本上就能解决。


③        系统账号锁定勒索,恶意程序将你现在使用的系统账号设置密码并禁用,然后设置一个以勒索者的联系方式为名的新系统账号。这样当你重启电脑后就会惊呼:我电脑桌面上的文件和应用程序都去哪了?!没错,系统会自动登录唯一一个没有被禁用的账户,也就是黑客所设置的账户。部分带有Windows账户管理器的Windows PE也能解决,实在不懂扔电脑店吧。


④        恶作剧程序类勒索。不加密文件,只是单纯让你无法正常的用电脑,比如全屏,最经典的案例有斯大林勒索:http://it.rising.com.cn/anquan/19351.html ,由于恶作剧程序通常无规律可循,所以这类威胁并非容易通过行为来判断,但是有的可以,比如说MEMZ(彩虹猫病毒),病毒会修改MBR分区表,这个就会触发我在第②类中提到的情况。


⑤        其他类型我还得调查一番。
dg1vg4 - 2018-11-25 22:00:00
在我看来,与其去讲经验,不如去讲教训,这样才能能让人更深刻地明白一些道理。

请允许我引用天月来了在http://bbs.ikaka.com/showtopic-9353922.aspx#12209631里的话:终有一天人类只能去防御,并且必须防御成功,一旦防不住,后期就没有任何杀毒的意义了。

首先我要重申一个观点:人才是信息安全中最薄弱的环节。

一、        诱惑最大的地方,恰恰就是危险最大的地方。

我见过的基本上绝大多数中毒的人,都是社交群里接受诸如游戏作弊器之类的程序,因为个人的贪婪,这些小学生中毒者大多都会无视反病毒软件的警告,然后,就没有然后了。

但也不能说中毒的都是小学生,有些针对企业发起的攻击就是将病毒程序伪装成单位里的工作文件,比如财务报表,邀请函什么的,通过电子邮件发送给受害者,然后受害者双击运行了样本,当然真要碰上这种情况,装个靠谱的杀软,企业里购买靠谱的信息安全方案就能绝大多数规避。

有一门学问叫“社会工程学”。永远不要完全相信那些“本程序完全无毒,使用时请退出杀毒软件”这类鬼话,真要是杀软误报的话,可以把程序发送给相应杀软厂商的官人检查一番。

二、        漏洞

“我什么也没有做,电脑就中毒了。”

安全漏洞就是这样一个东西,本质属于程序设计缺陷(Bug),严重点的漏洞,可以让你只是连着网络就感染病毒了。


就拿去年5月12日爆发的WanaCry勒索病毒来说,真正使其具有恐怖的传染性的原因是,病毒使用了美国CIA原“方程组”黑客团队的“EternalBlue”漏洞利用工具,这个工具可谓exciting,我记得当时有个群找到这套工具时玩了一下,然后发现这工具的功能强大的吓人。虽然微软已经在这些黑客工具泄露之后的17年3月发布了漏洞补丁,然而,现实情况是众所周知的,11个小时内病毒在互联网内感染了全世界的未打相关补丁的电脑。而根据瑞星2018年年末的勒索病毒分析报告:http://bbs.ikaka.com/showtopic-9353922.aspx,时隔一年WannaCry依然影响最大。Windows XP因为早在2014年停止了技术支持,所以那些还跑着WindowsXP的一些基础设施基本上是毫无防备

有的时候,不是美帝太过恐怖,只是我们不肯打补丁,甚至不知道漏洞补丁是什么。绝大部分的反病毒软件都是试图从正门防御,如果说诱骗用户直接双击运行就是试图从正门进攻的话,利用漏洞就是走旁门左道,所以那些以为装个杀软就能高枕无忧的人还是想办法重新学习一下吧。有主机漏洞缓解的安全软件(大多是防火墙)非常少,也不能保证100%堵上漏洞,所以还是老老实实打开Windows更新吧。(这里其实涉及到一些盗版操作系统与地下黑产的相关内容,具体先不展开,简单地说,能用正版操作系统尽量用正版)。




三、
可以利用的安全工具
首先是一批反病毒软件、防火墙等常规的常驻防御类安全软件。这些在http://tieba.baidu.com/p/5798357186已经稍微有所介绍。下面我们来说说一些专门针对勒索病毒的防勒索程序。

诱饵陷阱(蜜罐)式,在文件夹内部署诱饵文件

代表产品:

Cybereason RansomFree:https://bbs.kafan.cn/thread-2089801-1-1.html
勒索软件终结者:https://www.52pojie.cn/forum.php?mod=viewthread&tid=578711
瑞星之剑防勒索程序:http://www.rising.com.cn/j/
checkmal appcheck https://www.checkmal.com/product/appcheck/
保护区式


管家-文档守护者
360-文档卫士


信誉封锁/非白即黑

                    代表产品:
                    瑞星安全云终端 基于非白即黑模式的防勒索文件保护

                    趋势科技勒索克星:https://bbs.kafan.cn/thread-2117002-1-1.html
                                  Acronis Ransomware Protection http://www.tieten.cn/extortion/index.html
                    Kaspersky Anti-Ransomware Tool https://bbs.kafan.cn/thread-2052721-1-1.html

行为判定


代表产品:
checkmalappcheck
HitmanPro.Alert













dg1vg4 - 2018-11-26 18:58:00
我们之前提到过文件被加密后能解救的三种情况,这里就要提到一个公益组织网站NoMoreRamson https://www.nomoreransom.org/zh/index.html,你有机会找到那些由信息安全厂商提供的解密程序。关于这点,我尤其讨厌国内一些将这些公益网站资源据为己有的信息安全厂商,具体我就不点名了。
dongwenqi850604 - 2018-11-26 20:45:00
感谢这么好的文章,学习了解
1
查看完整版本: 个人电脑该如何对付勒索病毒