界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
技术交流区
反病毒/反流氓软件论坛
个人电脑该如何对付勒索病毒
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
1
/ 1 页
跳转
页
[原创] 个人电脑该如何对付勒索病毒
收藏
本主题由 管理员 麦青儿 于 2018-12-20 17:57:35 执行 设置精华/取消 操作
dg1vg4
版主
帖子:
1673
注册:
2007-12-10
来自:
江苏
发表于: 2018-11-25 21:53
|
只看楼主
短消息
资料
字号:
小
中
大
1楼
个人电脑该如何对付勒索病毒
我将试图以简洁易懂的说法简单说一下被勒索病毒感染该怎么办。
本文将长期更新施工。
用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0
本帖被评分 1 次
本帖被评分 1 次
dg1vg4 最后编辑于 2018-11-25 22:03:47
天下没有免费的午餐,人是安全中最薄弱的环节。
分享到:
短消息
资料
加为好友
全部帖子
性别:
生日:
1997-1-29
精华:
4
威望:
3698
贡献:
71
金钱:
0.05
无
状态:
离线
等级:
dg1vg4
版主
帖子:
1673
注册:
2007-12-10
来自:
江苏
发表于: 2018-11-25 21:53
|
只看楼主
短消息
资料
字号:
小
中
大
2楼
1. 有哪些类型的勒索病毒?
正所谓“对症下药”,下面先搞清楚有哪些常见的勒索。
① 文件加密类勒索。
这类勒索是最为麻烦的,首先文件加密这样一个过程在计算机中是一个黑箱过程,软件很难在逻辑上判断一个程序是否在执行加密操作。而且计算机中涉及文件加密的操作非常之多,更不要说去判断一个加密操作是否出于恶意。
目前能解密的只有三种情况:
1、恶意软件编写者犯了一个算法上的错误,因此被加密的文件得以破解。
2、恶意软件的编写者感到内疚,因此发布了密钥或主密钥。
3、执法机构搜获一台带有密钥的服务器并进行了分享。
如果是你运气好碰上以上这三种情况还好,如果碰不上,那么你的文件除非交赎金,否则基本上完蛋。事实上,有的时候你交了赎金也不会得到解密密钥,比如说Petya,简直就是为了通过加密来实现破环文件的目的。更多可以了解:
http://it.rising.com.cn/fanglesuo/
本文将在接下来的内容里重点讲解此类勒索病毒的解决方法。
② MBR锁机勒索
这类勒索病毒我们在贴吧里见的比较多,事实上,这类病毒可以批量生产,我还见到过这类病毒的生成器,自定义密码以及显示内容。但是,由于修改MBR分区表是一个非常明显的大动作,因而比较容易防御,比如说瑞星之剑就可以防御这类威胁,也是可免赎金解救。有教程:
http://beikeit.com/post-869.html
讲解如何使用Windows PE手动修复。实在不懂的话把电脑搬去电脑维修店,问题基本上就能解决。
③ 系统账号锁定勒索,恶意程序将你现在使用的系统账号设置密码并禁用,然后设置一个以勒索者的联系方式为名的新系统账号。这样当你重启电脑后就会惊呼:我电脑桌面上的文件和应用程序都去哪了?!没错,系统会自动登录唯一一个没有被禁用的账户,也就是黑客所设置的账户。部分带有Windows账户管理器的Windows PE也能解决,实在不懂扔电脑店吧。
④ 恶作剧程序类勒索。不加密文件,只是单纯让你无法正常的用电脑,比如全屏,最经典的案例有斯大林勒索:
http://it.rising.com.cn/anquan/19351.html
,由于恶作剧程序通常无规律可循,所以这类威胁并非容易通过行为来判断,但是有的可以,比如说MEMZ(彩虹猫病毒),病毒会修改MBR分区表,这个就会触发我在第②类中提到的情况。
⑤ 其他类型我还得调查一番。
dg1vg4 最后编辑于 2018-12-05 11:22:43
天下没有免费的午餐,人是安全中最薄弱的环节。
短消息
资料
加为好友
全部帖子
性别:
生日:
1997-1-29
精华:
4
威望:
3698
贡献:
71
金钱:
0.05
无
状态:
离线
等级:
dg1vg4
版主
帖子:
1673
注册:
2007-12-10
来自:
江苏
发表于: 2018-11-25 22:00
|
只看楼主
短消息
资料
字号:
小
中
大
3楼
2. 如何去防御
在我看来,与其去讲经验,不如去讲教训,这样才能能让人更深刻地明白一些道理。
请允许我引用天月来了在
http://bbs.ikaka.com/showtopic-9353922.aspx#12209631
里的话:终有一天人类只能去防御,并且必须防御成功,一旦防不住,后期就没有任何杀毒的意义了。
首先我要重申一个观点:人才是信息安全中最薄弱的环节。
一、 诱惑最大的地方,恰恰就是危险最大的地方。
我见过的基本上绝大多数中毒的人,都是社交群里接受诸如游戏作弊器之类的程序,因为个人的贪婪,这些小学生中毒者大多都会无视反病毒软件的警告,然后,就没有然后了。
但也不能说中毒的都是小学生,有些针对企业发起的攻击就是将病毒程序伪装成单位里的工作文件,比如财务报表,邀请函什么的,通过电子邮件发送给受害者,然后受害者双击运行了样本,当然真要碰上这种情况,装个靠谱的杀软,企业里购买靠谱的信息安全方案就能绝大多数规避。
有一门学问叫“社会工程学”。永远不要完全相信那些“本程序完全无毒,使用时请退出杀毒软件”这类鬼话,真要是杀软误报的话,可以把程序发送给相应杀软厂商的官人检查一番。
二、 漏洞
“我什么也没有做,电脑就中毒了。”
安全漏洞就是这样一个东西,本质属于程序设计缺陷(Bug),严重点的漏洞,可以让你只是连着网络就感染病毒了。
就拿去年5月12日爆发的WanaCry勒索病毒来说,真正使其具有恐怖的传染性的原因是,病毒使用了美国CIA原“方程组”黑客团队的“EternalBlue”漏洞利用工具,这个工具可谓exciting,我记得当时有个群找到这套工具时玩了一下,然后发现这工具的功能强大的吓人。虽然微软已经在这些黑客工具泄露之后的17年3月发布了漏洞补丁,然而,现实情况是众所周知的,11个小时内病毒在互联网内感染了全世界的未打相关补丁的电脑。而根据瑞星2018年年末的勒索病毒分析报告:
http://bbs.ikaka.com/showtopic-9353922.aspx
,时隔一年WannaCry依然影响最大。Windows XP因为早在2014年停止了技术支持,所以那些还跑着WindowsXP的一些基础设施基本上是毫无防备
有的时候,不是美帝太过恐怖,只是我们不肯打补丁,甚至不知道漏洞补丁是什么。绝大部分的反病毒软件都是试图从正门防御,如果说诱骗用户直接双击运行就是试图从正门进攻的话,利用漏洞就是走旁门左道,所以那些以为装个杀软就能高枕无忧的人还是想办法重新学习一下吧。有主机漏洞缓解的安全软件(大多是防火墙)非常少,也不能保证100%堵上漏洞,所以还是老老实实打开Windows更新吧。(这里其实涉及到一些盗版操作系统与地下黑产的相关内容,具体先不展开,简单地说,能用正版操作系统尽量用正版)。
三、
可以利用的安全工具
首先是一批反病毒软件、防火墙等常规的常驻防御类安全软件。这些在
http://tieba.baidu.com/p/5798357186
已经稍微有所介绍。下面我们来说说一些专门针对勒索病毒的防勒索程序。
①
诱饵陷阱(蜜罐)式,在文件夹内部署诱饵文件
代表产品:
Cybereason RansomFree:
https://bbs.kafan.cn/thread-2089801-1-1.html
勒索软件终结者:
https://www.52pojie.cn/forum.php?mod=viewthread&tid=578711
瑞星之剑防勒索程序:
http://www.rising.com.cn/j/
checkmal appcheck
https://www.checkmal.com/product/appcheck/
②
保护
区式
管家-文档守护者
360-
文档卫士
③
信誉封锁/非白即黑
代表产品:
瑞星安全云终端 基于非白即黑模式的防勒索文件保护
趋势科技勒索克星:
https://bbs.kafan.cn/thread-2117002-1-1.html
Acronis Ransomware Protection
http://www.tieten.cn/extortion/index.html
Kaspersky Anti-Ransomware Tool
https://bbs.kafan.cn/thread-2052721-1-1.html
④
行为判定
代表产品:
checkmalappcheck
HitmanPro.Alert
dg1vg4 最后编辑于 2018-11-26 23:14:50
天下没有免费的午餐,人是安全中最薄弱的环节。
短消息
资料
加为好友
全部帖子
性别:
生日:
1997-1-29
精华:
4
威望:
3698
贡献:
71
金钱:
0.05
无
状态:
离线
等级:
dg1vg4
版主
帖子:
1673
注册:
2007-12-10
来自:
江苏
发表于: 2018-11-26 18:58
|
只看楼主
短消息
资料
字号:
小
中
大
4楼
3. 文件被加密勒索后如何去解救。
我们之前提到过文件被加密后能解救的三种情况,这里就要提到一个公益组织网站NoMoreRamson
https://www.nomoreransom.org/zh/index.html
,你有机会找到那些由信息安全厂商提供的解密程序。关于这点,我尤其讨厌国内一些将这些公益网站资源据为己有的信息安全厂商,具体我就不点名了。
天下没有免费的午餐,人是安全中最薄弱的环节。
短消息
资料
加为好友
全部帖子
性别:
生日:
1997-1-29
精华:
4
威望:
3698
贡献:
71
金钱:
0.05
无
状态:
离线
等级:
dongwenqi850604
快乐黄口狮
帖子:
184
注册:
2016-06-24
来自:
发表于: 2018-11-26 20:45
|
短消息
资料
字号:
小
中
大
5楼
回复:个人电脑该如何对付勒索病毒
感谢这么好的文章,学习了解
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
450
贡献:
0
金钱:
0
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
1
/ 1 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
年后勒索病毒活跃 瑞星提供全面分析与防范建议
招贤纳士 网罗人才——瑞星网安欢迎您的加入
年后勒索病毒活跃 瑞星提供全面分析与防范建议
连续13年!瑞星安全软件入选央采项目
还是给SIM卡设个PIN码吧 by baohe
我的主题
我的帖子
我的精华
我的好友
文本模式