本帖最后由 Jade 于 2017-5-26 21:55 编辑
Ransomoff(https://www.ransomoff.com/)是heidef公司旗下的一款防勒索软件,现正处于Beta阶段。通过官方介绍了解到Ransomoff是从该公司另一款恶意软件检测工具Correlate里提取出来反篡改功能后单独打包成的一款软件,用来专门应对Ransomware威胁,试用了一下。
一楼:界面、功能介绍
二楼:样本测试
双击安装,选择安装目录,默认勾选MBR防护。勾选I agree后安装。 P.S.需要.net framework 4.5框架。 安装完成后,它会有提示。让你添加已经安装的防护软件(这里有详细说明,包含并不限于防病毒软件,反恶意程序软件,反篡改,第三方防火墙,广告拦截器),以防有兼容问题。还是挺人性化的……添加好后Done 这里,注意看提示,当你关掉这个对话框后系统会重启。也就是说要手动关闭以完成安装。 看一下系统资源占用: 还是很小的。 重启双击托盘图标打开主界面。
英文蹩脚,翻译可能不准确,大家能看懂就好。在License后看到Free beta use,表明是beta用户。不知道今后会不会继续免费。 P.S.这软件不带右键扫描,也没有扫描功能,也不需病毒库,只有在双击运行程序过后会根据行为来判断是否为恶意软件。 双击样本后弹出的提示框,用户可选择拒绝或允许。注意看,拒绝、允许下面的提示,会分别将样本放入相应位置。
第一项, Alerts,这里面显示的是事件记录,点进去可以看到详细记录。
第二项, Exemptions,这里可以添加允许和拒绝的文件,记得上面双击样本出现的提示框麽,点了拒绝,样本将会出现在Blocked区,也可以人工添加。
第三项, 文件夹防护,第一项Deny,提示:没有被允许的进程将被拒绝访问添加的文件夹。下面可以添加允许访问这些文件夹的进程。后面的Deceive,Hide,Read Only界面和功能与此类似,可以按需设定。
第四项, 第一项, Lockdown,进程封锁,默认关闭,建议不动。下面分别为所有进程,新执行的进程,所有未签名的进程。右边的On Error,进程被执行时的提醒,allow,进程可继续执行,block,进程被封堵,turnoff,关闭通知。可以点开learn more了解更详细信息。
第五项, Options,“通用设置”,分别为:自动更新(默认启用),启用全屏幕窗口检测,启动项变更通知(额,看这英文实在不知怎么翻恰当,看后面learn more提示后大概意思就是有些应用程序会修改启动值以确保能在下次启动后正常运行,勾上的话会通知更改启动项了。)下面的“安全”第一项,自我保护,默认开启。下面只允许管理员关闭,和密码保护。 下面,备份还原。“通用”里面设置最大文件的值,这项大概意思是当ransomoff检测到文件更改时会创建一个副本,这里设置的就是副本大小。通常,文件越大所需要的复制时间也就越长,也会影响性能。如果不想用这个功能将值设为0。 下面为恢复清理,可选的是在启动时删除缓存,在多少天后删除备份,删除陈旧较大的备份。下面的是文件反删除,建议默认。 第六项, “还原”,相当于隔离区吧,可以恢复被RansomOff检测到的文件。 正在运行的进程恢复。 被检测到的文件,可以选择删除,或者恢复。 P.S.想关闭软件界面点的是那个下拉按钮,点关闭按钮相当于关闭并禁用软件。 好了,到这里界面基本介绍完毕。
| 
[复制链接]
发表于 2017-5-26 11:36:47
楼主
喜闻乐见反勒索工具越来越多
