麦咖啡如何应对加密勒索？

柯林

当今形势，破坏性病毒，几乎没了，除了一个当前正在红得发紫的玩意——加密勒索！
如何应对？
有备无患当然是最保险的方法：备份，备份，备份！重要的事情说三遍。

对于VSE，可以尝试使用规则防御：
1、禁止陌生程序加驱（自定义规则禁止驱动程序文件产生或读取执行，或者自带规则的“禁止安装服务”）
2、保护数据盘（D\E\F盘，各自定义一条保护规则，除了windows路径下的svchost.exe、explorer.exe、notepad.exe以及C:\Program Files和C:\Program Files (x86)路径下的指定程序可以访问，禁止任何程序对这些磁盘上的文件读写）
3、禁止创建陌生程序

在做到以上三条的情况下，可以执行基本的防御，只要病毒没有注入svchost.exe与explorer.exe之类被授权的程序，在没有重大漏洞可以利用的前提下，理论上可以有效抗击，无论是脚本还是pe文件，都能防御。实际效果如何，有兴趣的自行实测验证（测试有风险，新人宜谨慎，重要须备份，免得叫老天）。

各位麦粉对这问题感兴趣的，大可尽情讨论。

---------------------------------------
以上讨论，是针对未知威胁而言，对于已知和入库的此类木马，麦咖啡直接扫描杀掉，无需我们操心，以上所言只是针对没有入库者而言。
按已知资料来看，这东东大多是个木马，侵入计算机后，需要连接服务器执行加密指令，从这角度说，一条VSE防火墙规则就废了它；退一步，如果是凶残的变种，一侵入计算机，不管三七二十一，立即执行加密，这个靠防火墙来防御就没效了，只能文件防御。

----------------------------------
良好的习惯与运气可以免杀百分之七八十的病毒，任何时候都不要忘了这个！以上讨论，只是想从可能的角度，将风险降到最低而已。

820119sly

柯大换头像了啊我一台1g内存老电脑xp系统的，装的ess8+麦咖啡p5，咖啡只装了规则这一块没装杀毒，应为马上就不支持xp了，占内存特小。我以后不管电脑装什么杀毒软件我都会装咖啡规则这一块作为辅助，因为太好用了，其他杀毒软件做杀毒及网页拦截，咖啡规则进行fd和rd阻挡，我觉得咖啡规则这块就是个完美的搭配，没有之一。。。如果毛豆以后能自定义安装模块后只安装沙盘的话再随便配个杀毒再加上咖啡规则那就真的是很强的组合了，个人愚见。。。

柯林

820119sly 发表于 2015-12-30 12:31
柯大换头像了啊我一台1g内存老电脑xp系统的，装的ess8+麦咖啡p5，咖啡只装了规则这一块没装杀毒，应 ...

还有这样的搭配说

网上看了下，还有人专门针对这个推出防御工具的，例如CryptoMonitor——有用过这个的没？效果真的赞？

-------------------------------------------------
看有些中招的属于“活该”——自己安些远控软件，呵呵，不控你控谁？

820119sly

柯林 发表于 2015-12-30 13:23
还有这样的搭配说

网上看了下，还有人专门针对这个推出防御工具的，例如CryptoMonitor——有用过这 ...

你说的那个我都没听过其实养成良好的上网习惯是最好不过了。我以前用墨池的规则后触红太多了太严苛了，后来就一直用你的规则方便易用我也只是电脑小白深的玩不了，感谢柯大在咖啡这块一直坚持给大家做贡献，没有你估计很多人都会放弃咖啡的，毕竟规则很麻烦也不会弄。给你点赞

柯林

820119sly 发表于 2015-12-30 13:41
你说的那个我都没听过其实养成良好的上网习惯是最好不过了。我以前用墨池的规则后触红太多了太严苛 ...

墨池他们走的是深层次防御路子，比较复杂，也够严密，适合中高级用家折腾。

我是懒人一族，喜欢简单点的入口防御，贴近白菜们的习惯吧，我也是棵白菜呵。

良好的习惯确实比较重要，相当于“招鬼系数”；普通人少用外{过}{滤}挂、破解、各种小软件，不明邮件及链接谨慎对待，一般真不容易中招。有重要文件的，建议及时备份，是保险的做法，万一不幸，格盘重装就是。

-------------------------------------
按网上人家总结的，这东东的流传途径，有恶意网页自动后台下载运行，邮件附件，捆绑在安装程序里，以诱惑性的名字引诱下载执行
一般人除了规则做入口防御，可以使用组策略再补一道——拦截后台自动下载（一般限制IE就行了）：

820119sly

柯林 发表于 2015-12-30 14:12
墨池他们走的是深层次防御路子，比较复杂，也够严密，适合中高级用家折腾。

我是懒人一族，喜欢简单 ...

你要自称白菜的话那我就只是白菜旁边的杂草了

其实对于高等级以及折腾党来说他们是知道自己做的有风险的，杀毒及防御并不是万能的，所以他们既然玩应该要有做好万一中毒的预防针心理，而且要做到重要数据的保护，如果中毒了就不该吐槽杀毒的不是，当然他们能玩就是有本事玩。对于一般使用者平时也不会碰太多这类东西的，毕竟知道自己有所短。

所以现在杀毒软件越来越智能后，普通人再上网习惯好点的话，估计以后卡饭会越来越失去魅力了吧，哈哈，个人想法。看来还是需要折腾党继续折腾钻研才能让我们体会到卡饭的好玩之处了。。。

nick20010117

柯林 发表于 2015-12-30 13:23
还有这样的搭配说

网上看了下，还有人专门针对这个推出防御工具的，例如CryptoMonitor——有用过这 ...

这两个规则经过测试，可以防护勒索软件注入explorer和svchost
双击墨家的一个勒索样本
日志：C:\USERS\ADMINISTRATOR\DESKTOP\2BD8.TMP\2BD8.TMP.EXE        C:\Windows\explorer.exe        用户定义的规则:防注入1        已阻止的操作: 读取
C:\USERS\ADMINISTRATOR\DESKTOP\2BD8.TMP\2BD8.TMP.EXE        C:\Windows\System32\svchost.exe        用户定义的规则:防注入2        已阻止的操作: 读取

柯林

nick20010117 发表于 2016-2-2 09:11
这两个规则经过测试，可以防护勒索软件注入explorer和svchost
双击墨家的一个勒索样本
日志：C:%uS ...

B5版本开始带来的问题，到B6依然继承——设置禁止执行某文件，包括了两个动作（读取和执行）
你图中所示的规则，等同于禁止读取资源管理器和svchost了，既然文件都不可读，当然也就没法注入了，一般情况下这样吧，加了驱可能就没用了，不知道这样设置是否影响正常应用

ps：vse这样的机制，可能是禁止读取正在活动的进程；可能与禁止读取的区别是后者指静态文件

nick20010117

柯林 发表于 2016-2-5 00:48
B5版本开始带来的问题，到B6依然继承——设置禁止执行某文件，包括了两个动作（读取和执行）
你图中所示 ...

当然，我还用了另一个规则
阻止程序写入administrator\appdata\roaming文件夹
这样就杜绝了勒索软件释放衍生物，勒索木马好像就是这个特点，只会在这个文件夹释放加密程序
用了这3个规则后，样本区所有的勒索木马从未加密成功过

墨家小子

nick20010117 发表于 2016-2-5 09:29
当然，我还用了另一个规则
阻止程序写入administrator\appdata\roaming文件夹
这样就杜绝了勒索软件释 ...

图样
http://bbs.kafan.cn/thread-1935526-1-1.html