把所有加密都弹窗，防勒索病毒新思路？

aphorism

勒索病毒很大一个特点就是行为很像普通加密软件，杀软不报毒

那么杀软通过升级，把所有加密行为都弹窗，告诉用户如果不是在用加密软件就是遇到了勒索病毒，赶快点击清除

这样做是否是这个办法？

聆听落雨

首先你怎么检测加密，在电脑看来，加密程序运行就和你玩游戏一样的概念，就是数据的读取？

如果解决这个，我相信没几个杀软搞不定后面的。

想法虽好，可是不行的。

aphorism

聆听落雨 发表于 2017-1-9 01:14
首先你怎么检测加密，在电脑看来，加密程序运行就和你玩游戏一样的概念，就是数据的读取？

如果解决这个 ...

加密行为肯定和普通读取有区别的，加密时会搜索并修改大量office 后缀的文件，这个动作说大不大，说小也不算太小，主要是提取这种加密因为特征，靠主防或者叫杀软内建规则来防

聆听落雨

aphorism 发表于 2017-1-9 13:16
加密行为肯定和普通读取有&# ...

呵呵，没事回去读读书

aphorism

聆听落雨 发表于 2017-1-9 13:57
呵呵，没事回去读读书

书柜，桌子，连地板都被书塞满了，本少目前读的书比一般人一辈子读的书都多，只不过不是计算机类的

fireherman

首要先了解勒索的种类和方式吧。

---

1，普通锁屏类（移动版比较多，而且……多数都是用易语言写的，去【易语言贴吧】看看吧）

方式：修改注册表、恶意写入MBR

---

2，类似加密压缩软件，典型的就是Cerber；（包括启动即改，包括重启加密）

方式：相当于用“正常的压缩软件（WinRAR/7zip）压缩文件并添加密码”，然后删除原文档。

---

3，注入类：

方式：（通常是）入侵系统进程，注入恶意代码，进而加密文档（同样需要删除原文档这一步，这是Windows的文件运作原理，无论是病毒、杀软、还是其他软件都无法避免）

---

4，脚本类：（js, java, vbs, html, scr, etc.）

方式：下载病毒，调用；

---

5，楼下补充

westbyte

不可行,我是这么理解的，加密就是加密程序读取原文件然后根据某种规则基于原文件制作一份新文件,只能在读取和删除原文件上做文章。无论是根据算法计算还是制作新文件都没有独特的特征。

aphorism

fireherman 发表于 2017-1-9 15:08
首要先了解勒索的种类和方式吧。

---

第一种mbr，杀软应该弹窗防住，而且是必须的
第二种cerber，需要杀软对压缩解压做一些特殊监控，发现就弹窗，也可能防住
第三种入侵系统进程，这是很多病毒木马的手段，传统方式了，杀软应该防住
第四种脚本类，很多杀软有脚本防护，也应该防住

目前最怕的是第二种

fireherman

aphorism 发表于 2017-1-9 15:21
第一种mbr，杀软应该弹窗防住，而且是必须的
第二种cerber，需要杀软对压缩解压做一些特殊监控，发现就 ...

压缩解压是非常普通的一种文件操作方式；

你是一个人，你知道这是“压缩”文件的操作；

但电脑还没有智能到识别，能识别的，对电脑来说，也是正常行为：

1，使用WinRAR压缩文件是文件操作

2，使用PhotoShop修改图片是文件操作

3，使用浏览器浏览网站时是文件操作（缓存）

4，玩WOW也是文件操作（数据交替读写）

难道全部要弹窗？（相当于ESET的HIPS使用【交互模式】，你不嫌烦，其他用户的体验就不好，弹弹弹……老是弹窗，点得我手指发麻。）


要是那么简单，杀软也不需要更新病毒库，设置弹窗就可以了。（Comodo偷笑）

fireherman

aphorism 发表于 2017-1-9 15:21
第一种mbr，杀软应该弹窗防住，而且是必须的
第二种cerber，需要杀软对压缩解压做一些特殊监控，发现就 ...

第一种其实也不一定的：一些正常的软件，如 SpeedFan（温度监控软件，因为需要监控硬盘温度，必然要访问MBR）

如果不排除的话，必然每次都弹窗；

我（或者熟悉杀软的用户）就知道排除，但一般没有什么电脑知识的用户，你让他们怎么判断啊？