怎么对付加密勒索这个毒瘤？

柯林

现在还搞破坏计算机资料的木马病毒，已经不多了，加密勒索算是当前风头较劲的一个。如何对付这东东，大家来说说想法。

个人观点，在反病毒厂商提供有效解决方案之前，需要用户提高警惕，养成勤于备份的好习惯（不知道开着磁盘的“系统保护”有木有效果？）。

对于杀毒软件来说，似乎还是要加强主防才行，单纯靠特征码捕捉或云拉黑，总是会有人倒下，作了牺牲 还是针对性强的主防靠谱
应该强化文件保护措施，像图片、文档、图纸、压缩文件这些东东，包括影音文件，杀软主防应该加强控制，不要随便什么程序都可以改写，应该对动作发起者执行数字签名检查，合法路径检查，文件版本，乃至于sha1值比对，凡是假冒或者不可信的，一律拦下
譬如说，doc文件，docx文件，只有word程序才会对它修改，世界上做文字处理程序的没几家，除了微软、金山以及屈指可数的一些开源厂家；凡是要修改doc或docx文件的程序，如果程序名是winword，检查它有没有微软的数字签名，没有就阻止；有签名，看它的路径是不是在系统盘的Program Files下，不是就咔嚓；路径对，比较版本与sha1值，如有出入，弹窗请用户确认。其他格式的文件一样的道理，先从白名单库里，看该程序属不属于操作此类文件的程序？然后看签名，检查路径，比对版本与sha1值。

允许操作的程序名单、数字签名、路径、版本、sha1值，这些东东全部比对筛选下来，假冒者及想要蒙混过关的作恶者，全都死翘翘了。这样做，自然会有一些修改版，绿化版，非标准路径安装的程序，会被拦截，这个需要用户自己手动加白来放行。

杀软主防如果像这样进行处理，无疑对用户的文件安全会有很好的保障，不只是加密，文件修改、删除，都不允许；如果只想针对加密勒索，能够识别加密操作，提请用户确认，或者直接给个虚拟化，完事后报告用户，如果用户确认要进行该操作，请用户二次启动重操作且放行即可。【如果连读取都加以控制，那就牛逼到家了，估计很多流氓软件要哭鼻子】

要么给个隔离，来个虚拟化操作；要么加强文件执行控制，对比白名单库，签名、路径、版本、sha1值，设置可靠的关卡——至于安装程序对图标的修改、txt文档之类的修改，限于系统盘合法目录及自身目录，应该也不会误杀。

个人大白菜一棵，谈点想法，具体怎么做，相信反病毒工程师会有一个妥善的解决方案。楼下有任何话要说的，都请继续，把楼顶起。

ELOHIM

部署一个虚拟机，离线备用实机电脑最好。
网上过来的文件需要运行的都在里面双击一下。
虽然好麻烦…………
勒索软件的出现凸显了系统还原、快照、备份功能和以及计算机使用经验积累的作用。
一定要勤整理自己的重要数据。
cookies和虚拟内存的处理方式以及其他边边角角使用习惯的改变颇为重要。
有时候我们的使用习惯可能很舒服很方便，但是非常不安全。
然而改变习惯是需要付出自己的坚持和精力的。
玩不过病毒，就来一次玉石俱焚，也是没有办法的办法了。
----------------------------
建议，自己的电脑就是可以联网的空壳、或者低级mi-guan。重要的数据放在加密过的移动存储比网盘好。

qftest

勤于备份是个好习惯
现在加密勒索类病毒正在蓬勃进化中，将来说不定还会加密引导区将硬盘或U盘锁起来（类似以前江民的逻辑锁），事实上也曾出现过不少修改管理员系统登陆帐号密码然后勒索赎金的病毒
普通用户能做的很少，除了安装好评高的杀软以外，我觉得还需要安装HMPA之类有针对性对抗手段的安全软件
随着勒索病毒的影响扩大，估计也会出现专业的反勒索软件，期待下

驭龙

卡巴斯基安全软件，一招解决问题，我只允许Microsoft签名访问我的个人数据，Office Word轻松编辑我的文件，其他未知文件都无法读取和访问我的文档，哈哈

dongwenqi

驭龙 发表于 2016-1-18 15:14
卡巴斯基安全软件，一招解决问题，我只允许Microsoft签名访问我的个人数据，Office Word轻松编辑我的文件， ...

这个方法好，对勒索病毒狠点

驭龙

dongwenqi 发表于 2016-1-18 15:22
这个方法好，对勒索病毒狠点

我是无奈之举，目前最强防御加密勒索的是DrWeb，不但主防DPH专杀加密勒索，更有数据文档加密备份，受DrWeb超强自我保护防御保护，只可惜DrWeb太卡，所以我就用Kaspersky这一招对付加密勒索，效果也是可以嘀

柯林

驭龙 发表于 2016-1-18 15:14
卡巴斯基安全软件，一招解决问题，我只允许Microsoft签名访问我的个人数据，Office Word轻松编辑我的文件， ...

看样子卡巴的HIPS组件还不错

驭龙

柯林 发表于 2016-1-18 15:53
看样子卡巴的HIPS组件还不错

嗯，这个是应用程序控制，玩好的话，确实是很强

柯林

ELOHIM 发表于 2016-1-18 15:07
部署一个虚拟机，离线备用实机电脑最好。
网上过来的文件需要运行的都在里面双击一下。
虽然好麻烦……… ...

加密就怕密匙丢失，个人中过一次，用的windows自身的加密，后来系统还原，忘了导出密匙，结果傻眼了

柯林

qftest 发表于 2016-1-18 15:11
勤于备份是个好习惯
现在加密勒索类病毒正在蓬勃进化中，将来说不定还会加密引导区将硬盘或U盘锁起 ...

希望专业反勒索的工具尽快推出，这年头貌似就数这个危害大了