聊下最近出的一些wannacry勒索病毒防御工具

1. 瑞星之剑.

只能怪自己消息太过闭塞, 这工具出了两三天了, 好像瑞星还在大肆宣传其防御效果。于是好奇下载下来分析下。界面如下:

就是一个简单的EXE文件, 运行会释放一个dll和两个驱动文件.然后将驱动文件拖入IDA分析. 实现如下:

使用minifilter过滤文件io操作.IRP_MJ_CRATE,IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION. 当有进程试图去写入 或者重命名 瑞星事先在指定目录释放的一些陷阱文件(jpg txt doc)则就会弹窗提示发现敲诈者病毒。

也就是软件运行时会在指定的一些桌面 或者文档目录释放瑞星自己准备的文件, 当发现有进程去写入 重命名这些可疑操作时候就会提示发现敲诈者病毒.

总结:

原理就是释放陷阱文件等待病毒去操作这些文件. 但是这种防御效果甚微。即便真的发现, 系统也是有一部分文件已经感染或者加密。况且还不是所有的目录都释放陷阱文件, 所以局限性很大。比如病毒就感染特定的目录文档文件,

但是恰巧该目录下没有陷阱文件则该软件就监控不到病毒。 个人感觉 这个工具有用, 但是确实没有他们宣传的那么神, 太过局限 防御思想也落后。

2. 360 和电脑管家: 这两家的防御工具基本就是文件被删除或者被修改的时候保存一下 前一时刻的副本. 以供用户发现异常找回文件用.个人认为这种工具虽然没有发现病毒的能力 但是确实在一方面减少了用户的损失.

其实对于敲诈者病毒分防御, 完全没必要局限在病毒的操作手段, 而要跳出这个点, 在更高的纬度去思考如何防御. 时下流行的防御方式基本就是放置陷阱文件, 但是这种方式过于滞后, 太容易被破。

时间: 2024-10-10 06:57:40

聊下最近出的一些wannacry勒索病毒防御工具的相关文章

"WannaCry"勒索病毒用户处置指南

"WannaCry"勒索病毒用户处置指南 原文: http://mp.weixin.qq.com/s/ExsribKum9-AN1ToT10Zog 前言:北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件:众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索:而我国众多行业也是如此,其中又以教育网最为显著,导致部分

WannaCry 勒索病毒用户处置指南

一.前言 北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件:众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索:而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等.截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融.能源.医疗.交通等行业均受到影响. 今年

WannaCry勒索病毒的防范和处理指引--致终端用户版

关于WannaCry勒索病毒的防范和处理指引 注意! WannaCry勒索病毒仅影响Windows操作系统:如果您使用的是苹果Mac OS操作系统,但是有使用 WINDOWS虚拟机的话,也要进行下述操作! 操作步骤: 1.切断网络并开机 A.开机前拔掉网线: B.开机后观察是否已中毒: 开机后,看到如下画面,说明电脑已中毒,请第一时间联系网络管理员处理. 如未出现以上画面,请进行下一步操作. 2.修复电脑 修复工具建议采用360 NSA:http://www.360.cn/wendangweis

WannaCry勒索病毒卷土重来:日本本田工厂被迫关闭

6月22日消息,前阵子WannaCry勒索病毒席卷全球,世界各地网络遭到攻击.日前,偃旗息鼓了一阵的WannaCry勒索病毒又重回人们视线,迫使一家汽车厂在日本关闭. 路透社报道,本田Sayama工厂不得不在星期一停止生产,由于WannaCry勒索病毒袭击其网络.该工厂每天投放大约1000辆车,包括Accord轿车.Odyssey和Stepwgn小型货车. WannaCry勒索病毒卷土重来 汽车制造商并没有立即回复评论请求,而是发言人告诉路透社,WannaCry勒索病毒已经袭击了本田在日本.北美

抵御WannaCry勒索病毒,瑞度吹起进攻号角!

文章来自江西瑞度智能科技有限公司 解读"Wannacry" 北京时间5月12日晚间,全球范围内有近百个国家遭到大规模网络攻击,一款名为WannaCry的恶意勒索软件在全世界疯狂蔓延,受攻击主机被该软件锁定大量文件并加密,并被要挟高额比特币作为数据恢复赎金.截至发稿时,该软件已经影响到数百个国家,上万家企业和组织,近百万台电脑主机.我国包括教育.能源.政府机构在内的众多行业用户也未能幸免,导致大量重要数据无法访问,造成了严重的社会危害和影响. 此次勒索事件与以往相比最大的区别在于,勒索病

全球WannaCry勒索病毒爆发背后的技术漏洞

转载文章请注明作者和二维码及全文信息. 5月12日晚,新型"蠕虫式"勒索病毒软件 WannaCry 在全球爆发,攻击各国政府,学校,医院等网络.我国众多行业大规模受到感染,其中教育网受损最为严重,攻击造成大量教学系统瘫痪.国内部分高校学生反映电脑被病毒攻击,被攻击的文档将被加密. 据统计,病毒是全国性的.5月13 日凌晨 1 时许,记者从山东大学官方微博看到,微博中发布了一条"关于防范 ONION 勒索软件病毒攻击的紧急通知 ". 金山毒霸安全中心监测到Onion/

WannaCry勒索病毒事件的“来龙去脉”

Jackzhai 一.背景: 2017年5月12日是个平静的日子,大家都高高兴兴地收拾回家度周末了.然而,从下午开始,网络安全公司就不断接到用户求救电话,越来越多的用户遭受计算机病毒袭击,电脑被加密锁闭--周末的深夜,公司的灯被陆续点亮,售后工程师被召回,研发经理被召回,测试人员被召回,售前工程师被召回,销售也被召回-一场大规模.全球性的计算机病毒事件就这样悄然来到了.银行的ATM提款机"罢工"了,加油站的电脑"停业"了,学校即将答辩学生的论文被加密了,机场预告飞机

GANDCRAB V5.0.3/GANDCRAB V5.0.4/新后缀勒索病毒解密工具办法流程

GANDCRABV5.0.3/GANDCRABV5.0.4/GANDCRABV5.0.5勒索病毒完美解密 **GANDCRAB V5.0.3勒索病毒可解 GANDCRAB V5.0.4勒索病毒可解 GANDCRAB V5.0.4勒索病毒可解免费测试文件 ××× 最快一小时 勒索病毒解密 **本次变种同样采用RSA+AES加密算法,将文档文件加密为随机后缀名的文件,然后对用户进行勒索.该勒索病毒主要通过RDP爆破.邮件.漏洞.垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,恶意软件嵌入了GA

GANDCRAB V5.0.4/新后缀勒索病毒解密工具办法流程gandcrabmfe6mnef.on

专业处理 GANDCRAB V5.0.4勒索病毒,此种病毒危害很大,请大家注意预防!---= GANDCRAB V5.0.4 =--- UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS***** Att