简论使用麦咖啡防御勒索

柯林

这年头最“凶猛”的毒，大概要数勒索，其它都一般（盗号木马啥的注意点别让病毒进来就ok，至于MBR病毒换用GPT分区就没了）

勒索病毒最常见的传播方式是电子邮件附件。以VSE为例，假设你设置的电邮附件保存目录在我的文档里，假设附件里带毒，如果你就地解压，假设你设置了规则“禁止生成新的exe文件”，那么病毒是无法解压出来的，也就谈不上运行后产生危害；假设病毒被解压出来了，如果你设置了“禁止执行我的文档里的文件“这么一条规则，你不知道它是病毒，点击后，它依然是无法运行的；假设你不知道附件带毒，直接点进压缩包里查看，双击压缩包内的文件，病毒将被解压工具释放到临时目录（一般是C:\Users\XXX\AppData\Local\Temp）里，假设它是exe格式，将被”禁止生成新的exe文件”这条规则拦截，无法释放出来，如果是scr等格式，假设你设置了“禁止执行用户Temp里的文件"，虽然病毒被释放到了临时目录，依旧无法发作。

假设病毒来自U盘，只要设置一条”禁止执行U盘上的文件“，那么病毒根本就运行不了，也释放不出恶意程序，起不了作用；假设没有这么一条规则，那么就由”禁止生成新的exe文件”和“禁止执行用户Temp里的文件"这两条来加以拦截（如果病毒不是exe格式，也不是释放到Temp里执行，那就突破了防线）

对于重要资料，建议设置第二道防线——把重要资料归结在特定目录里，设置规则进行保护（除了授权程序，拒绝其他程序访问修改）。

以上所谈，都是建立在麦咖啡的月神和本地监控没有扫描出病毒的情况下，依据规则进行防堵，如果杀毒已经识别为病毒，直接被干掉，也就轮不到规则派上用场。
-----------------------------------------------------------------
小梳理：勒索病毒危害过程大致是这样的——利用网络（电邮为主）或U盘进行传播，进入计算机后，病毒运行，释放加密程序或下载加密程序到特定位置（通常是C:\Users\XXX\AppData\Local\Temp，也包括”我的文档“及C:\Users\XXX\AppData\Roaming等）运行，全盘搜索指定格式执行加密，完事后弹出勒索窗口，调用CMD命令删除病毒自身，甚至释放一个bat文件删除文件备份等（参看某勒索病毒的示例：

”解密bat文件后释放到临时目录下，并加载运行
解密出来的bat文件内容如下

@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete"HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default"/va /f
reg delete"HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"/f
reg add"HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el')DO wevtutil.exe cl "%1"

Bat会删除远程桌面连接信息文件default.rdp，并通过wevtutil.execl命令删除日志信息“

——引文来自《GlobeImposter勒索病毒技术分析报告》原文地址http://www.freebuf.com/articles/system/163792.html
------------------------------------------------------------------------
对于主打FD且功能可靠的麦咖啡来说，防御勒索病毒其实很简单。由以上信息可知，大致是三招：

第一招：入口防御，禁止scr文件与exe文件生成；禁运Temp、我的文档、U盘等关键位置，让病毒进不了计算机或无法运行作怪
第二招：二道防御，给数据安全再加一把锁——把重要文件归聚起来实行保护，禁止非授权程序破坏
第三招：补漏措施，打上系统补丁，关闭危险服务与端口，VSE做规则禁止执行vssadmin.exe以防止文件备份被删除等

ps：真正的王道，当然是备份（数据无价的请多买两块移动磁盘勤于备份；一般人至少用个大容量U盘吧；重要的影像资料建议刻录光盘）
-------------------------------------------------------------------------
如果不小心中了勒索，可以尝试进Pe去用数据恢复软件如DiskGenius进行恢复看看，如果不行，请网上查找方法
万一没辙，可以尝试联系专业数据恢复公司（网上搜索”勒索病毒“就有）
如果专业公司也没法，那就只能联系病毒作者尝试付费解密，假设数据比较重要


ps：如果你有备份，那就无视勒索，即使整个硬盘资料全毁了，大不了重做系统就是。

静影沉璧

感谢分享，前排支持

天道酬善

今年公司我的电脑中了勒索，还好大部分资料有网络备份。

柯林

天道酬善 发表于 2018-10-6 12:15
今年公司我的电脑中了勒索，还好大部分资料有网络备份。

按实情来看，公司，学校，医院，加油站等公共单位容易中招；据说很多服务器中招是管理员太懒---为方便自己记忆登录密码设置弱口令+没有设定登录次数锁定---导致黑客攻陷，进去关闭防毒软件，手动植入病毒。

其实稍微大一点的公司（使用电脑十台以上），应该设置一个专门备份员，负责每天的数据备份--备份数据存放在一台永不联网的运行非windows系统的专用数据备份机上……这样比较科学。

jone_jys

对于经常安装卸载软件的，怕麻烦就直接上“第二招”补充规则，简单又高效。可以按文件夹分类保护，亦可按扩展名分类保护。只要没有乱排除，被保护的对象，可谓是“铜墙铁壁”

VSE很赞！

kfunname

真棒，防勒索基本就这个口，来源封锁，重要东西再加强保护，任它病毒多么厉害，运行不了也徒然，其实不仅防勒索，可以扩大到防未知威胁了。

wheyu。。。

勒索没遇到过，不过看看这个还是能增加些认知的

ly910326

我这里通过私云存储来实现文件的转储，即便被勒索，直接一键恢复或者直接客服换硬盘解决。

柯林

ly910326 发表于 2018-10-7 15:15
我这里通过私云存储来实现文件的转储，即便被勒索，直接一键恢复或者直接客服换硬盘解决。

居然私云

柯林

补一句，如果不怕使用上的麻烦，可以小增强：

1、防御加驱病毒。对于来自网络的病毒，假设不知为毒，已经下载到本地，可以写条规则
禁止?:\Users\**访问注册表services项目，无论病毒是下载到桌面、文档还是用户Temp目录，都是加不了驱动的（这一条通常不影响程序的安装、卸载与运行）

2、防止系统帮倒忙，如果某些病毒或恶意程序在Users路径下，可以写一条
禁止cmd.exe,wscript.exe,powershell.exe,svchost.exe,rundll32.exe等高危玩意执行*\Users\** （这一条可能会影响某些程序的安装卸载或运行）