把所有加密都弹窗，防勒索病毒新思路？

aphorism

zfc234 发表于 2017-1-10 21:03
关键就在于用户的行为习惯具有极大的差异性，比如你可能只是一般的用户，但也有很多时候杀毒软件的客户， ...

单独的防勒索功能如360的也是需要手动开启或关闭，杀软开发出比较麻烦但有一定效果的防护功能，嫌麻烦可以关掉，这有啥难的

zfc234

aphorism 发表于 2017-1-10 22:55
单独的防勒索功能如360的也是需要手动开启或关闭，杀软开发出比较麻烦但有一定效果的防护功能，嫌麻烦可 ...

那要看杀毒软件的设计思路了，比如bitdefender也给出了专门的防勒索选项，但是并不是一路询问；趋势是保护指定文件夹进行防勒索防加密，如此种种。。。如果你说的是正确的，那我想会有很多杀毒软件的工程师会考虑你的想法，然而事实是这样的思路需要进一步优化，朝智能化方向发展，如果人工智能发展到可以区别用户以及可信软件的加密操作和恶意程序的加密破坏的时候，更加安静可靠的防护终究会比不断询问用户的模式来得更加令人愉悦。

zfc234

aphorism 发表于 2017-1-10 14:06
这种操作我一年也用不到一次，很多用户也只是玩玩游戏浏览网页还有听歌，也不进行压缩解压的操作

这层楼的想法有一点局限，首先如果是小白用户，那极有可能会放行你说的询问步骤；其次，非小白用户的解压缩加密等等操作是肯定存在且广泛的，这些人不会想让杀毒软件时时刻刻妨碍他们工作的。

vm001

aphorism 发表于 2017-1-10 22:55
单独的防勒索功能如360的也是需要手动开启或关闭，杀软开发出比较麻烦但有一定效果的防护功能，嫌麻烦可 ...

勒索防护现在360可是默认开启的哦，需要手动开启的是勒索赔偿服务这个和能不能拦截勒索不是一回事。。
另外就是360这么大的白名单在勒索防护方面还有大量误报，比如前些时候误报CC清理垃圾时候报称勒索。。
程序不是人眼，用户环境更是复杂。。

f59375443

aphorism 发表于 2017-1-10 14:06
这种操作我一年也用不到一次，很多用户也只是玩玩游戏浏览网页还有听歌，也不进行压缩解压的操作

抱歉，玩游戏看网页不用缓存读写？

电脑发烧友

PS：一月初的帖子啊。。。。。。。。。


首先帮楼主修改一下“把所有的大量修改文件的行为都弹窗”

实际上加密行为就是修改磁盘上的文件内容，死板的程序很难识别是否是加密。

我们来看看加密行为和正常操作有多像。
1.在编辑文档的时候，点击了保存，实际上修改了磁盘上文件的内容。
2.在更新某个软件的数据库时，如果是大更新的话（比如更新游戏），那么行为上来看就是大规模修改磁盘上的内容，这与加密马大规模加密文件时的动作并无区别。
3.在下载各种文件的的时候也是修改了磁盘上的文件。
4.使用任何一个软件的缓存也算是修改了磁盘上的文件。

那么试想如果杀软用了楼主的思路会出现什么情况？
1.用户花了半天编辑的文档刚点保存，杀软突然弹出来说可能是勒索病毒，如果用户判断正确了，还好，反之则是努力付之东流。或者说用户纠结的时间过长（暂时无视杀软的弹窗倒计时），导致文档编辑软件被挂起时间过长进程报错退出还是付之东流。
2.用户正在更新游戏，突然杀软提示有毒，或者正在玩游戏，杀软突然提示有毒，然后被反杀等等等。
3.使用电脑上任何一个软件都有可能弹出杀软的报毒窗口，是不是很烦？

看见了有提到勿扰模式，杀软的在开启勿扰模式的情况下涉及计算机安全和用户财产的敏感操作都会默认拒绝，比如检测到意思勒索软件，所以可能会出现玩着游戏突然看到了桌面，然后翻看杀软日志发现——

时间：XXX
事件：检测到疑似的勒索软件
目标对象：XXXXX\游戏\XXXX（Ransomware.XXX.X）
操作：删除（自动）

一个人不代表全部人，杀软是要符合绝大多数人的需求的，不能为了一个人而去违反大众的需求，这是愚蠢的。

曾经有人建议说短时间大量修改文件就直接报勒索，我认为这是欠妥当的，因为一个后缀修改软件就被会被误报，包括游戏更新也有很高的概率被认为是勒索马。

电脑发烧友

猪头无双 发表于 2017-1-10 21:53
你代表的了别人？你怎么知道很多用户只是玩玩游戏浏览网页听听歌？想当然是病

我觉得楼主适合在HIPS的FD里加一个“*”

柯林

楼主，这个东东，目前最简单有效的是360的信誉技术与毛豆的自动入沙
不管什么病毒，前提，要有病毒进入主机，执行，才有后续的一系列问题（利用系统及软件漏洞与bug的恶意代码入侵就不说了，那是无解的东西），所以云信誉非白即黑，拦截了，什么问题都不会产生；不确认安全的自动入沙了，什么动作都是假的，唯一有漏的可能是联网发信息
从这角度讲，根本不需要多高深的防御技术，禁运大法秒杀一切（系统自带的禁运措施足够笑傲千马万毒）

理论上讲，大量加密文件，这种短时间内大数量级文件操作，肯定是不正常的（再疯的人也不会秒改成千上万的文件），识别不出来确实是当前技术的尴尬，可能禁止覆盖源文件是较好的解决办法（新操作文件作为备份与源文件并存，存放3日以上，提请用户决定保留哪一份）。