為什麼在勒索病毒泛濫之際,相關的新聞中,始終沒有看到「殺毒軟體」這四個字?
再怎麼說這也是個病毒啊,病毒來了就要殺軟體出手啊,但為什麼在那麼多新聞報道中,始終沒有出現「殺毒軟體」這四個字呢?
因為我國的殺毒軟體(管家)是勒索病毒的祖宗,虎毒不食子
比如本問題的最高贊答主
題主把殺毒軟體想的太厲害了.
題主把殺毒軟體類比成敬察就可以了.
所以.平時的上網習慣更重要.類比成現實,就是危險的地方別去.別穿太少.別晚上亂跑.....
比中勒索病毒更可怕的,是你還不知道如何預防它
題記:360安全衛士對於勒索病毒的預防,不僅僅是備份文件,而是全方位的解決方案。
簡史:
說起「勒索病毒」就不得不提2017年5月WannaCry利用「永恆之藍」漏洞肆虐全球的事件,也是從這個時間起,人們才真正聽說、瞭解、認識到相比傳統的病毒木馬,「勒索病毒」纔是真正令人談「毒」色變、防不勝防的攻擊手段。
播放視頻瞭解何為勒索病毒直至今天,各類新增的勒索病毒和變種依舊層出不窮,入侵方式也變的多種多樣。對於360安全衛士來說,和勒索病毒的鬥爭一直都在持續,面對嚴峻的勒索形式,360安全衛士集成了免疫、防禦、查殺、解密、賠付於一體的完整解決方案。
勒索病毒入侵方式:
- 偽裝成激活工具、遊戲外掛等程序,誘導用戶運行中招;
- 利用網頁掛馬傳播;
- 對外網郵箱隨機發送電子郵件,誘導用戶打開郵件後下載勒索程序;
- 利用系統漏洞自動傳播;
- 利用弱口令遠程登錄入侵。
360防禦勒索病毒武器NO.1——免疫工具:
- NSA武器庫免疫工具:勒索病毒通常通過系統445文件埠進行攻擊,360安全衛士集成的NSA武器庫免疫工具,可以檢測系統存在的漏洞,對存在445文件埠暴露情況的用戶進行風險提示,並指導用戶用最簡單的方法修復漏洞。
- 高危漏洞免疫工具(獨立版):集成檢測勒索病毒漏洞、CPU漏洞,並提供修復方案。
360防禦勒索病毒武器NO.2——漏洞入侵防護漏洞修復模式:
360安全衛士推出的「漏洞入侵防護」可以在第一時間攔截可能存在的蠕蟲攻擊,你只需要開啟安全衛士就能獲得全方位的安全保證,杜絕下一場「永恆之藍」爆發的可能。
定期修復漏洞是有效的防護惡意程序的基礎,360安全衛士在傳統模式的基礎上升級漏洞修復功能,獨家推出「關機智能打補丁」功能,不佔用工作、學習時間,關機後實現高危漏洞補丁智能篩選、漏洞修復過程中安全防護。
360防禦勒索病毒武器NO.3——黑客入侵防護系統安全防護:
根據分析顯示,2017大約15%的勒索病毒攻擊是針對中小企業伺服器發起的定向攻擊,這類伺服器大多存在弱口令漏洞、系統漏洞,被黑客通過RDP(遠程桌面協議)遠程登錄伺服器投毒。相比個人電腦,伺服器數據的珍貴程度和不可恢復性更強,因此被勒索者支付贖金的意願也相對更強烈。
360安全衛士從木馬入侵伺服器最常見的手段——弱口令爆破入手,首先對伺服器系統推出了「黑客入侵防護」功能,自動阻止高風險的遠程登錄行為
隨著勒索病毒黑色產業在國內的衍生,入侵者把攻擊目標也逐步瞄準個人電腦,存在漏洞的區域網環境以及暴露在公網上的PC,都面臨被攻擊的風險。360安全衛士逐步將「黑客入侵防護」擴大支持範圍,也已經對個人電腦提供支持。
配合功能大全中的「360系統安全防護」,可以有效的保護電腦,拒絕被黑被入侵!
360防禦勒索病毒武器NO.4——主防6.0木馬查殺:
針對PC端高發木馬,360安全衛士將主防全面升級至6.0版本,打造22層立體防護,組成國內最為嚴密的防護體系。
查封惡意程序來源,查殺惡意程序落地和調用,確保勒索病毒不會被運行。
360防禦勒索病毒武器NO.5——360文檔衛士:
360文檔衛士作為「勒索病毒終結者」,實時全面保護文檔安全,具有自動備份引擎,發現文檔修改後自動備份,做到有備無患。
360文檔衛士還提供了文檔解密功能,一鍵掃描中了什麼勒索病毒,直接推薦解密工具,支持市面上所有可以解密的勒索病毒類型。
360防禦勒索病毒武器NO.6——反勒索服務:
360安全衛士獨家開通「反勒索服務」,並承諾:使用360安全衛士11.0版本並開啟該服務後,一旦感染敲詐者病毒,360將提供最高3個比特幣(約13000元人民幣)的贖金並幫助用戶恢複數據,讓用戶遠離財物及文檔的損失。
話說,從下載、安裝到開啟反勒索服務,整個流程不超過5分鐘,就可以避免勒索病毒上萬元敲詐勒索的困擾,絕對值得擁有。
總結:
雖然製毒門檻越來越低,勒索病毒依舊猖獗泛濫,但也並非是無法防禦的。
養成備份文件的習慣,不瀏覽危險網站,默認郵件需要謹慎和提防,保持安全軟體的正常開啟,定期打補丁;關閉電腦的遠程登錄和共享,設置高強度登陸密碼,不讓電腦暴露在公網上。
安全是一種需求,也是一種理念和信仰。「大安全」時代,讓360來守護你。
先讓我們來瞭解一下什麼是「勒索病毒」
「勒索病毒」就是「永恆之藍」病毒,也叫做「wanncry」
下面是百度百科的資料:
永恆之藍是指2017年5月12日起,全球範圍內爆發的基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意代碼,不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網路攻擊事件。英國、俄羅斯、整個歐洲以及中國國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件。
下面是「永恆之藍」的運行方法
攻擊邏輯如下:
攻擊者發起攻擊,被攻擊機器由於存在漏洞,導致自身中毒。中毒之後漏洞利用模塊啟動,
漏洞利用模塊運行之後,釋放加密器和解密器,啟動攻擊線程,隨機生成ip地址,攻擊全球。
加密器啟動之後,加密指定類型的文件。文件全部加密之後,啟動解密器
解密器啟動之後,設置桌面背景顯示勒索信息,彈出窗口 顯示付款賬號和勒索信。威脅用戶指定時間內不付款文件無法恢復。
漏洞利用模塊分析
1、啟動之後判斷命令行參數,是否已經釋放文件。如果沒有釋放文件則釋放文件,啟動釋放的加密器,把自身設置為服務。
圖-創建服務
病毒主程序 偽裝為微軟安全中心
圖-偽裝為服務
從資源中解密文件
圖-從資源中釋放出加密器
拼湊路徑
圖-拼湊加密器釋放的路徑
釋放加密器
圖-釋放加密器
啟動加密器
圖-啟動加密器程序
2、如果服務創建成功,則啟動服務進入服務函數,創建線程 執行相應功能
圖-隨機生成攻擊IP
圖-利用漏洞攻擊生成的ip
攻擊線程中構造exploit 發送漏洞利用程序數據包
複製shellcode
圖-構造漏洞利用數據包
發送數據包 利用漏洞攻擊攻擊生成的ip
圖-收發數據包
圖-發送漏洞利用數據包
隨機生成IP 攻擊全球主機
圖-被攻擊ip
加密器分析
加密器啟動之後複製自身到C:ProgramDatadhoodadzaskflip373(不同的系統會複製到不同的目錄)目錄下
圖-複製自身並啟動
創建服務 使用cmd命令啟動自身 防止被結束進程
創建服務
圖-創建服務 防止被結束
各參數信息
圖-服務信息
創建互斥體 防止運行多個實例
MsWinZonesCacheCounterMutexA
創建註冊表鍵值
圖-創建註冊表鍵值
從資源中解密出相關文件
包括提權模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@
還有一些 語言資源文件和 配置文件
圖-加密器釋放的文件
然後隨機從三個比特幣錢包中選取一個 作為勒索顯示信息
圖-比特幣錢包地址
把釋放的文件夾 所有文件 設置為隱藏屬性
圖-釋放的文件設置為隱藏
遍歷查找文件
圖-遍歷文件
判斷是否是不感染的路徑
圖-判斷路徑
判斷是否是要加密的文件類型
圖-判斷文件類型
讀取文件並加密
圖-讀取文件
刪除原來的文件 只保留加密後的文件
圖-刪除原文件
病毒會加密指定類型的文件
圖-加密的文件類型
加密後的文件添加後綴 .WNCRYT
圖-被加密的文件後綴
加密完成之後運行解密器 彈出勒索窗口
解密器分析
解密器運行之後會刪除windows自動備份 無法還原被加密的文件
圖-刪除備份
修改桌面背景 顯示勒索信息
圖-勒索信息
彈出勒索窗口,顯示比特幣錢包地址和付款金額
至此,「永恆之藍」是什麼已經非常清楚了,他的工作原理簡單來說就是加密,加密完了,用你的電腦去攻擊同一區域網內的其他電腦,並且向中毒的設備提出「勒索」的要求
那麼問題是:為什麼沒有提及殺毒軟體呢???
因為殺毒軟體(下面簡稱殺軟)在病毒一開始流行時根本無法檢測去它是一個病毒,經過一段時間後,很多殺軟都把永恆之藍加入了資料庫,但是為什麼還會中招???
因為你根本不用自己下載這個病毒,而是區域網內其他設備就會對你進行攻擊,如果你沒有一個好的防火牆,中毒幾率就是非常高的(之後關閉445等埠就是這個道理)因此中毒後使用任何殺毒軟體,只會破壞病毒收費(解密)的程序,並不會解密你的文件
為什麼不能解密???
已經有不少殺毒軟體自稱已經做出瞭解密工具了,但是真的有用嗎?
下面以某60解密工具為例,來看看原理
原理就是永恆之藍並不會把你的文件完全加密,而是加密其中的10%(瞎造的比例)而某60解密工具,就會把剩下90%提取出來,文件並不會完整,甚至根本就是打不開的
而解密的難度,是非常的大的
關於永恆之藍的加密方法其實是依賴RSA演算法,這種演算法為基礎設計了比特幣,如果RSA被破解,比特幣就成了笑話,事實上1994年,紹爾發明瞭基於量子計算機的shor演算法(以數學家彼得?秀爾命名的Shor演算法(秀爾演算法),於1994年發現,是一個針對整數分解的題目的量子演算法(在量子計算機上面運作的演算法))這種演算法可以輕鬆破解RSA。(所以除了量子計算機根本無法解密,手動滑稽)
這篇文章就到這裡了,下面是參考的資料
永恆之藍_百度百科
http://software.it168.com/a2017/0515/3123/000003123146.shtml
這個要看殺毒軟體的主防以及其它操作
卡巴斯基:回滾,在勒索病毒加密文件的時候把文件備份下來,並在出了問題的時候直接掏出備份的文件
F-Secure:DeepGuard封鎖
Symantec:有SONAR信譽
ESET:LiveGrid,但是似乎在去年wcry的斷網鎖庫測試中表現不太好
趨勢:趨勢的雲化比較明顯,雲端應該就能攔截
Avast/AVG:IDP主防
McAfee:RealProtect,外帶獨立的防勒索模塊
國外的殺毒軟體,是技術的對抗國內的殺毒軟體,是營銷的對抗技術?不存在的,技術以換界面為本
說一點個人的觀點,不成熟,供參考。
關鍵問題就是部分國人對付費軟體的態度,還有就是國內某數字殺毒軟體的壟斷程度。
國外的不少付費殺毒軟體都是具有多步主防的,哪怕對於未知的病毒都存在一定的查殺率。這是什麼原理呢?我來舉個例子。
病毒進入到電腦肯定是要有行為的,好比抓小偷。很多小偷你並不認識(未知病毒),但是你在街上看到了也能認出來,為什麼?因為他伸手夠別人的錢包了,有偷竊的行為,所以你能知道他是小偷。
同樣的,國外的部分殺毒軟體運用同樣的原理,為不同的高危動作設定了分數,並設定了不同的閾值,如果某一程序達到某特定閾值時便會攔截。
你或許會說,那麼這時候文件已經加密了,有什麼用呢?事實上,在文件加密之前,病毒本體的動作就足以讓很多殺軟報毒了。(這一點有數據支持,在卡飯論壇上曾有人在虛擬機中安裝某B牌殺軟,用的是舊版的安裝包且斷網,防止病毒庫更新,來測試主防的防護能力。該軟體在面對未知的未在病毒庫裏的病毒具有頗為不弱的防護能力)
再說說為什麼這和部分國人的態度有關。最開始,國內外的殺軟都是要錢的,那個時代,金某牌殺軟和瑞某牌殺軟以及江某牌殺軟都是很不錯的,並且在國際測試中能夠站在第一梯隊。後來有個3某牌殺軟推出了免費模式,以流量變現盈利,這間接導致了整個行業發生了震動,不是好的,而是壞的。整個行業都被迫免費了,用同樣的盈利模式,彈廣告賺錢。而問題也就出在這了,殺軟公司開始絞盡腦汁思考如何更好的利用這個大流量,也就沒有那麼專註於安全了。而部分國人「硬體花了錢,軟體就不該花錢」的態度更是助長了這一行為。並且間接導致最開始走這條路,並且深諳捆綁安裝與惡意競爭(參考直接金某網盾安裝包被3某0報毒的事件)之道的3某牌殺軟一家獨大。
如今,國內的殺軟大多還停留在認臉(病毒庫)識病毒的時代,也就是不得不提的3某具有一般的單步主防,並且完全無法與國際競品相提並論。至於說曾經的金某,瑞某和江某,處境怕是也不容樂觀。(瑞某和江某尚且還有政府機關給輸血)
本文至此,似乎充滿了崇洋媚外,但是我其實想表達的是一種悲哀與無奈。在金某毒霸2006的時候我就是他的付費用戶,一直用到2016,實在實在實在是受不了廣告了。十年間,我看到了風雲巨變,我看到了行業變革,我看到了金某衰退。(不能全怪3某,金某衰退自然有內因,但是不完全與3某及其對行業的影響無關)
如今,我偶爾還在關注那幾個不彈廣告,靜下心來做安全的國產安軟,比如火絨,比如微點。(火絨個人版也是免費的,公司依靠企業版盈利,不存在流量變現)但是他們都還不成熟,還有很長的路要走。
希望有一天,在國際舞臺上也能看見中國的安軟,在部分機關,也能換掉美國的賽門鐵克。
希望有一天,國產安軟能夠再次沉浸於技術,沉浸於防護,而不是如何安裝全家桶,如何彈廣告更賺錢。
一點肺腑之言,不針對任何廠商企業,不針對任何人。
勒索病毒主要在一個防上,不僅是防止危害自己的電腦,還有防止傳播來危害別人的電腦,加上分析病毒特徵進行有效入庫,需要一個緩衝過程,所以你在新聞開始只能看到全國預警。實際上在當天就會有新聞報道xx殺軟率先入庫(雲端病毒特徵庫,入庫了只要本地病毒庫和雲端同步就能查殺了),然後各殺軟在研究如何解密被勒索的文件,但因為都是隨機加密,所以一般沒有意外的話是解不開的,舉個例子,Wanercry(不出意外的話我拼錯了,實在記不住病毒命名)如果電腦重啟了,病毒作者來了也無法解開,沒重啟可以讀取內存去解,重啟了RAM會清空,有人推測作者壓根沒想過讓你解鎖,只是為了引起股市波動。話題說回來,因為解不開,所以還是以防為主,各界都會把重頭戲放在預防工作的宣傳上。雖然還有些別的原因,不過對你來說應該不好理解,所以就這樣給你解釋吧。
樓主說的很對,大部分殺毒軟體都是馬後炮,沒法防止0 day攻擊。各種牛皮都會吹,防0day攻擊事實上都是吹
以目前人類的技術來說,只要中了招,神仙難救。勒索軟體的本質是加密,既然當前的加密演算法是無解的,那麼它也就是無解的,在可以預見的未來裏,只要加密技術還存在,勒索軟體就一定會存在,沒有任何的「殺毒軟體」會拿它有辦法。
也許這就是所謂的,站在巨人肩膀上吧。
要知道什麼是殺毒軟體,殺毒軟體本身並不能預防病毒,只是對已有病毒分析,找到防禦辦法,而沒辦法防禦未知病毒
推薦閱讀:
