※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2016-03-14 11:04:33
看板 AntiVirus
作者 標題 [閒聊] 不要再中勒索軟體了
時間 Tue Mar 8 19:02:25 2016
一陣子沒見到災情,
最近又有點死灰復燃的感覺,所以想丟一點撇步供參考。
1. Email 附檔盡量不要開
除了可執行檔,尤其 js、vbs、shs、bat 這類指令碼變種、加密非常多樣化,
防毒軟體常常偵測不到。不要以為 js 只是純文字就認為安全,
js 這種東西點兩下打開的不是記事本不是瀏覽器,是從背景跑 wscript 自動
從網站下載惡意程式執行,看都看不到,防不慎防。
* 再補一個,Office 系列檔案有巨集的也很危險,不要傻傻的就去點「啟用巨集」。
2. 你需要漏洞防護
「我明明什麼都沒點啊,逛逛網站怎麼還是中標!」
因為你的 Windows 有洞、IE 有洞、Flash 有洞、Java 有洞…通通都是洞,
它就是有辦法做到讓你一邊上網一邊自動下載執行惡意程式。
微軟免費提供的 EMET 能替一些常用的 Windows 程式加點額外保護。
即使如此也不要忘記隨時保持軟體最新版本或者乾脆關掉千瘡百孔的 Flash。
有些防毒軟體也提供這種功能,那就不用另備了不然可能會打架自爆。
Malwarebytes 也提供免費的 Anti-Exploit,選一個裝就好。
運氣好時它們能阻止漏洞被利用,所以惡意程式不會被執行,
運氣好時它們能阻止漏洞被利用,所以惡意程式不會被執行,
但是它們不能「阻止勒索軟體」,你要是手賤硬要執行它們是不會擋的。
比如說單純一個木馬連結,出現問你要下載還是執行這種不會擋。
不怕麻煩的再找個沙盒之類的會更安全 (…但就是麻煩)
3. 我用 Mac OS 無敵對不對?
壞消息是: Mac OS 的勒索軟體已經出爐了。
最近有個叫 KeRanger 的勒索軟體混入 Mac OS BT 客戶端 Transmission。
http://gigazine.net/news/20160307-first-os-x-ransomware/
Mac OS Xに初のデータ暗号化で身代金を要求するランサムウェアが登場 - GIGAZINE
感染したコンピュータのデータを暗号化したりシステム不能の状態に追い込んだりして、元通りにして欲しければ身代金を払えと要求する極悪のマルウェア「ランサムウェア」の猛威が、ついにMac OS Xにも広 ...
感染したコンピュータのデータを暗号化したりシステム不能の状態に追い込んだりして、元通りにして欲しければ身代金を払えと要求する極悪のマルウェア「ランサムウェア」の猛威が、ついにMac OS Xにも広 ...
4. 我有裝防火牆耶,為什麼還是中標
防火牆有在設規則嗎?還是全自動好方便?或是跳什麼通通允許?
我是覺得懶人型防火牆根本沒有用 (不過有些有配合檔案信譽的就好多了)
像 Windows 防火牆預設只阻止連入連線,程式愛怎麼鑽他是完全不會擋的。
再舉一個我購入的 G DATA 防火牆預設的 Autopilot 像屎一樣,
美意是自動判斷,但結果就是什麼都自動允許,
我連拿木馬、拿廣告來測通通都是自動允許,到底請你來做什麼?
自建規則亂設也不行,我之前為了玩遊戲就設成允許 Domain Service,
結果新增的規則是 svchost.exe 通通允許。偏偏勒索軟體最愛 svchost.exe,
注入後隨便你下載、開後門、跑加密等壞事,它就是這麼神奇。
有些看來像是私人作品的勒索軟體根本連連線都不連線,
也不拐彎抹角行為一堆搞注入搞開機啟動,而是直接就狂讀狂寫,
跑加密直接霸氣留 Email 要你直接來找,防火牆不見得有用。
5. 我有防毒,小紅傘喔,是不是很安全呢
小紅傘的行為防護是0是0是0。
很重要所以要說三遍。你就算用付費版也還是0,掃不到就是中獎。
論執行後的防禦我覺得小紅傘搞不好還比 Windows Defender 差。
當然不是說有什麼主動防禦、行為防護、HIPS…blahblah 就是我無敵我高枕無憂,
但是勒索軟體的行為總有固定模式 (雖然一直在變),
防毒軟體廠商也一直在更新規則希望能擋下來,多一層保護總是比較好。
像卡巴斯基好不只是好在他的掃描和他的雲端檔案信譽,
最重要的還有他的系統監控和應用程式控制,而這也是一些免費軟體欠缺的。
工商連結
漏洞防護:
Microsoft EMET
https://support.microsoft.com/zh-tw/kb/2458544
Malwarebytes Anti-Exploit
https://www.malwarebytes.org/antiexploit/
注意 不要同時裝多套,簡單的 EMET 設定附在文章後面了
用 EMET 的一定要設一下,不然預設的保護項目不多
自稱可以防勒索的軟體:
Hitman.Pro Alert (這款是公認的強大,也包括漏洞防護了,但是要付費)
http://www.surfright.nl/en/alert
Malwarebytes Anti-Ransomware (BETA測試版,小心使用)
http://tinyurl.com/jh59xap
Introducing Malwarebytes Anti-Ransomware - Malwarebytes Anti-Ransomware Beta - Malwarebytes Forum
Introducing Malwarebytes Anti-Ransomware - posted in Malwarebytes Anti-Ransomware Beta: We are very excited to announce the release of the first Malwarebytes Anti-Ransomware beta!
As mentioned in the blog announcement by Marcin this beta is extremely exciting as it introduces the most innovative app ...
Introducing Malwarebytes Anti-Ransomware - posted in Malwarebytes Anti-Ransomware Beta: We are very excited to announce the release of the first Malwarebytes Anti-Ransomware beta!
As mentioned in the blog announcement by Marcin this beta is extremely exciting as it introduces the most innovative app ...
http://bit.ly/Cryptolocker
其實都是老調重彈。
另外我自己沒有中標經驗,也沒有精實的電腦知識,
有什麼不對的請盡量批評補充。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.121.189.142
※ 文章代碼(AID): #1Mth5Ca7 (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1457434956.A.907.html
推 : 同樣沒中過推,主動離線備份最實在1F 03/08 19:41
推 :2F 03/08 20:09
→ : 很早就把flash關閉 凡是要看的 都手動打開
→ : 看twitch 等 會有點不方便 但至少安心一些
→ : 很早就把flash關閉 凡是要看的 都手動打開
→ : 看twitch 等 會有點不方便 但至少安心一些
→ : 推一個 我只有裝小紅傘 到現在一個都沒中過 廣告和一些5F 03/08 21:44
→ : 可疑連結不要亂點幾乎八成的病毒都不會中
→ : 可疑連結不要亂點幾乎八成的病毒都不會中
→ : LUA+SRP 或許也有點作用7F 03/08 21:55
→ : 請問一下Anti-Exploit是否能有效阻擋利用網頁植入病毒、8F 03/08 22:23
→ : 網頁廣告病毒與勒索軟體等透過網頁植入的管道呢?
我 G DATA 裝到現在漏洞防止完全沒有跳過任何訊息,→ : 網頁廣告病毒與勒索軟體等透過網頁植入的管道呢?
所以我不敢說這類防護「一定有效」。
但是在虛擬機測試舊版 FLASH 搭漏洞測試的網頁,
EMET 和 MBAE 都能夠阻擋。
我也不知道去哪裡生病毒網頁所以沒辦法真的去一一測試。
推 : 推~10F 03/08 22:26
推 : 重點是,每個中獎的人都哭訴資料很重要,但我納悶的是11F 03/08 23:33
→ : 很重要怎麼不備份……我覺得除了原po你說的部分,更要
→ : 很重要怎麼不備份……我覺得除了原po你說的部分,更要
→ : 建立“正確”的備份觀念,我看不少人覺得把檔案從c槽13F 03/08 23:33
→ : 複製到d槽就是備份…花個幾千塊買隨身硬碟或網路硬碟真14F 03/08 23:33
→ : 的比起全部的努力遺失還要便宜太多了
→ : 的比起全部的努力遺失還要便宜太多了
推 : 不懂電腦的人常常對C槽D槽沒概念啊...16F 03/08 23:41
→ : 至於隨身硬碟,可能很多人對隨身碟的印象不太好
→ : ex:容易中毒or資料常不見
→ : 所以沒想到隨身硬碟是個簡單又可靠的備份方式吧
→ : 至於隨身硬碟,可能很多人對隨身碟的印象不太好
→ : ex:容易中毒or資料常不見
→ : 所以沒想到隨身硬碟是個簡單又可靠的備份方式吧
→ : 外接硬碟備份別一直插著...有很多人都...20F 03/08 23:58
推 : 插著對電腦來說就跟內接硬碟一樣啦21F 03/09 00:03
→ : 我是用網路空間備份,檔案有增減或修改時才會上線同步,22F 03/09 00:11
→ : 平常時PC端程式不會一直開著,不過現在網頁內藏病毒那麼
→ : 頻繁,有沒強烈建議哪隻程式防這塊很有效的呢?
真要推哪個很有效,我不知道,抱歉。→ : 平常時PC端程式不會一直開著,不過現在網頁內藏病毒那麼
→ : 頻繁,有沒強烈建議哪隻程式防這塊很有效的呢?
看有沒有板友能給意見了。
推 : 推優文25F 03/09 00:35
→ : 最近老板電腦才中這...很怕他哪個公事隨身碟沒弄乾淨,就..26F 03/09 00:41
→ : ~"~有些人說只瀏覽網頁就中鏢了耶27F 03/09 00:47
→ : 是呀~瀏覽網頁的中獎案例會讓人覺得這方面的防護很重要28F 03/09 02:39
→ : 除了開版大的訓提供外,也期待有其他高手的專業推薦了
→ : 除了開版大的訓提供外,也期待有其他高手的專業推薦了
→ : 漏了一個重點,Adobe Acrobat 也是有漏洞的一定要更新30F 03/09 07:14
→ : 怕的話就用2台電腦 另一台專門用來還原就好 2台不要互聯31F 03/09 07:31
→ : 區網 帳密不重複登入 這是目前最棒的辦法
→ : 區網 帳密不重複登入 這是目前最棒的辦法
→ : 我用的是付費版小紅傘 某些小廣告連結會出現警示訊息33F 03/09 22:58
→ : 雖然不太確定是基於什麼理由擋就是 (訊息回報?)
→ : 雖然不太確定是基於什麼理由擋就是 (訊息回報?)
推 : 推! Flash和JAVA外掛早就砍了 已經過時35F 03/10 09:32
推 : 講了很多,但是有啥用?過幾天還是一堆文章說中了36F 03/10 10:18
→ : 然後問怎麼辦,要不要付錢,備份檔案移到其他電腦會
→ : 不會也感染?
→ : 然後問怎麼辦,要不要付錢,備份檔案移到其他電腦會
→ : 不會也感染?
推 : 想請教最新版chrome,ff的內建的pdf會有漏洞嗎?39F 03/10 16:44
還是要回:不知道。就是因為不知道哪裡還有洞沒補起來才會被攻擊,
那些現在被說不要再用了的版本也曾經是最新版過。
→ : 覺的會中的還是會中 沒中都不知道痛 囧rz40F 03/11 15:14
推 : 借問一下Anti-Exploit禁止開啟ptt上的連結 如何開放呢41F 03/11 23:56
你是用什麼軟體?EMET 還是 Malwarebytes 的。測試之後 PCMan 和 PTTChrome 都沒有這種問題
,我大概沒辦法幫你。
---- 以下無關 ----
再補充一下。
EMET 和 Malwarebytes Anti-Exploit 不要同時使用,必當。
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1457434956.A.907.html
Microsoft EMET
任何程式都可以加,不過不用什麼都加。
確認你常用的瀏覽器、播放器、PDF閱讀器…
這類容易接觸外來檔案的程式有保護就好了。
如果你加了一直當…那那那,我也不知道。
可能是有衝到得取消某些保護。
(update) 剛安裝好的推薦設定只有一些基本程式,
抱歉我一直改 不過微軟已經先做好一些常用的程式設定放著了。
直接點選 Import... Popular Software 就會加進常用的程式。
http://i.imgur.com/zHEkIzP.png
其他想加的發現沒有在列表(點上面的Apps看)也可以自己加,
以 Chrome 為例 (只是舉例,如果你有匯入清單那是已經有包含)
你高興要從左上點 Apps ... 然後 Add 也可以,只是要找路徑麻煩。
1. 建議先打開想加的程式,然後再開啟 EMET 介面。
直接在下面程式清單找到比如說 Chrome,點一下右鍵。
再點 [ Configure Process... ]
http://i.imgur.com/pPVItU2.png
2. 他會自己加進去受保護清單,點一下 OK 就好了。
http://i.imgur.com/jrs7ZX5.png
3. 會出現一條訊息說你可能需要重新開啟程式。
http://i.imgur.com/xfpfx2S.png
4. 重新啟動 Chrome 並且 Refresh 或重開 EMET 介面,
看到有個綠色的勾勾出來就是 OK 了。
http://i.imgur.com/BPPhqcU.png
Malwarebytes Anti-Exploit
不需要設定
免費版無法自訂要保護的程式,
所以只有最常用的瀏覽器等軟體受到保護,
如果你用比較小眾的瀏覽器要注意。
(清單中鎖是開的或沒有在清單中代表沒有保護)
http://i.imgur.com/aAJfGIi.png
如果覺得每次開瀏覽器都有泡泡很煩可以關掉。
http://i.imgur.com/Qj6nBVI.png
→ : 掛EMET當掉會顯示哪個功能造成的,可以取消勾選,不過通常是1F 03/12 09:46
→ : 程式太老舊或是真的中毒造成
→ : 程式太老舊或是真的中毒造成
推 : 謝謝! 原來是免費版無法自訂要保護的程式 沒關係我只試用3F 03/12 10:28
推 : 真的逛些下載論壇還不會中毒之後 再考慮購買
你也可以用 EMET 就好,反正都不用錢。推 : 真的逛些下載論壇還不會中毒之後 再考慮購買
我一開始寫得好像 EMET 要錢似的 (反省中)
推 : Ok, 謝謝你的建議哦!5F 03/12 16:59
→ : 這幾天安裝了Malwarebytes Anti-Exploit與Hitman.Pro Al6F 03/12 19:22
→ : ert付費版,都可以保護瀏覽器、Office、PDF與Media Play
→ : er,H牌多了防側錄、防網路攝影機盜錄與勒索軟體防護等
→ : 功能,另H牌只能保護透過安裝程序的瀏覽器,免安裝方式
→ : 的瀏覽器就無法防護囉,簡單測試心得
剛剛遇到有樣本可以過 HitmanPro.Alert 的 Cryptoguard,→ : ert付費版,都可以保護瀏覽器、Office、PDF與Media Play
→ : er,H牌多了防側錄、防網路攝影機盜錄與勒索軟體防護等
→ : 功能,另H牌只能保護透過安裝程序的瀏覽器,免安裝方式
→ : 的瀏覽器就無法防護囉,簡單測試心得
還是千萬小心。
※ 編輯: brianuser (122.121.190.245), 03/12/2016 20:38:50
→ : 那請問是怎麼發現的呢? 防毒軟體的主防還是?11F 03/12 21:27
→ : 我無聊去抓的,主防也不見得有用12F 03/12 21:57
→ : 主防+掃毒+漏洞更新與防護+瀏覽習慣+備份,這幾個步驟都13F 03/13 00:20
→ : 做了還中獎實在是很倒楣,可是不做也不行啊~
→ : 還有別亂點連結與亂開檔案
→ : 做了還中獎實在是很倒楣,可是不做也不行啊~
→ : 還有別亂點連結與亂開檔案
推 : 實用 想請問如果有卡巴又裝EMET會打架嗎?16F 03/13 22:01
→ : (答非所問)卡巴系統監控已有弱點入侵防護,不需要EMET17F 03/13 22:21
推 : 剛下載的樣本加密速度極快,雙擊即開始加密.18F 03/13 22:38
新發現,之前以為過的那個樣本啊,根本就是假勒索真詐財他居然只是透過 CMD 搜尋一些特定副檔名的檔案把副檔名改成 crypted,
然後就想跳網頁出來跟你討錢。
大概解釋了為什麼幾乎所有軟體都沒有報這個,這實在太白癡了啊。
→ : 虛擬機W1064bit10240+KIS1600614a+EMET5.5平時是沒有當19F 03/13 22:56
→ : 版本有點舊但我懶得更新,卡巴更新超慢的
※ 編輯: brianuser (114.47.172.146), 03/14/2016 05:19:51→ : 版本有點舊但我懶得更新,卡巴更新超慢的
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 723
回列表(←)
分享