美国国土安全局勒索类病毒警告

jasonliul

原文
https://www.us-cert.gov/ncas/alerts/TA16-091A

解决办法
Solution

Infections can be devastating to an individual or organization, and recovery can be a difficult process that may require the services of a reputable data recovery specialist.

US-CERT recommends that users and administrators take the following preventive measures to protect their computer networks from ransomware infection:

    Employ a data backup and recovery plan for all critical information. Perform and test regular backups to limit the impact of data or system loss and to expedite the recovery process. Note that network-connected backups can also be affected by ransomware; critical backups should be isolated from the network for optimum protection.
    Use application whitelisting to help prevent malicious software and unapproved programs from running. Application whitelisting is one of the best security strategies as it allows only specified programs to run, while blocking all others, including malicious software.
    Keep your operating system and software up-to-date with the latest patches. Vulnerable applications and operating systems are the target of most attacks. Ensuring these are patched with the latest updates greatly reduces the number of exploitable entry points available to an attacker.
    Maintain up-to-date anti-virus software, and scan all software downloaded from the internet prior to executing.
    Restrict users’ ability (permissions) to install and run unwanted software applications, and apply the principle of “Least Privilege” to all systems and services. Restricting these privileges may prevent malware from running or limit its capability to spread through the network.
    Avoid enabling macros from email attachments. If a user opens the attachment and enables macros, embedded code will execute the malware on the machine. For enterprises or organizations, it may be best to block email messages with attachments from suspicious sources. For information on safely handling email attachments, see Recognizing and Avoiding Email Scams. Follow safe practices when browsing the Web. See Good Security Habits and Safeguarding Your Data for additional details.
    Do not follow unsolicited Web links in emails. Refer to the US-CERT Security Tip on Avoiding Social Engineering and Phishing Attacks or the Security Publication on Ransomware for more information.

感染可能是毁灭性的个人或组织，恢复可能是一个艰难的过程，可能需要一个有信誉的数据恢复专家的服务。

US-CERT建议用户和管理员采取以下预防措施，以防止感染勒索他们的计算机网络：

    采用的所有关键信息的数据备份和恢复计划。执行和测试定期备份，以限制数据或系统造成的影响，并加快恢复过程。注意，连接网络的备份也可以通过勒索受到影响;关键备份应从网络为最佳的保护进行分离。
    使用应用程序白名单，以帮助防止恶意软件，并运行未经批准的程序。应用程序白名单是最好的安全战略之一，因为它仅允许指定的运行程序，同时阻止其他人，包括恶意软件。
    保持你的操作系统和软件保持最新与最新的补丁。脆弱的应用程序和操作系统是大多数攻击的目标。确保这些被跳线具有最新更新大大减少提供给一个攻击者利用的条目点的数量。
    维持了最新的防病毒软件，并扫描从互联网上执行之前下载的所有软件。
    限制用户安装和运行不需要的软件应用程序，并应用“最小特权”的原则，所有的系统和服务的能力（权限）。限制这些特权可能防止恶意软件运行或限制其能力通过网络传播。
    避免电子​​邮件附件启用宏。如果用户打开附件，使宏，嵌入式代码将执行机器上的​​恶意软件。对于企业或组织，也可能是最好的可疑来源的附件来阻止电子邮件。有关安全处理电子邮件附件的信息，请参阅识别和避免电子邮件诈骗。浏览网页的时候遵循安全的做法。见良好的安全习惯，并保护您的数据了解详情。
    不要按照电子邮件中不请自来的网络链接。请参阅US-CERT安全提示上勒索避免社会工程学和钓鱼式攻击或安全出版物以获取更多信息。

柯林

“限制用户安装和运行不需要的软件应用程序，并应用“最小特权”的原则”，这件事情，本身应该是由操作系统完成的工作，都是脆弱而不安全的操作系统给害的！如果按照进程隔离的原则设计，除了系统自身，以及世界上已知的高度人气安全程序，其他所有程序，一旦启动运行，就关在一个独立的小黑屋内，从本机信息到磁盘文件全部由系统随机生成虚假信息供其使用，谁在乎你是什么毒什么马说来说去，还是系统太操蛋了

qftest

柯林 发表于 2016-7-31 08:41
“限制用户安装和运行不需要的软件应用程序，并应用“最小特权”的原则”，这件事情，本身应该是由操作系统 ...

BUG豆沙盘用多了，柯大你的虚拟化隔离思想很严重啊

900703

我倒是要看看這配置過不過的了勒索：Kaspersky IS 2017 +Zemana Anti Malware + HitmanPro.Alert

柯林

qftest 发表于 2016-7-31 09:09
BUG豆沙盘用多了，柯大你的虚拟化隔离思想很严重啊

没有吧，原理上就应该三大独立的：系统独立，高可信程序（譬如硬件驱动）独立，一般程序独立，这个叫做“三权分离”，互不干扰，你病毒木马再牛，系统的边都摸不到，其它程序你祸害不了，你还能翻天啊？

可能微软听够了冷嘲热讽，据说红石开始，没微软数字签名的驱动拒绝加载，这下好看了，算是曲线救国吧，虽然不够彻底，总算迈出了关键的一步！

lovelive10010

柯林 发表于 2016-8-3 08:21
没有吧，原理上就应该三大独立的：系统独立，高可信程序（譬如硬件驱动）独立，一般程序独立，这个叫做“ ...

QQ可以加驱动吗