HuoRong丶小宇 发表于 2017-6-22 17:58:40

勒索病毒诱捕功能简介

前言:

各位亲爱的火绒用户:您好!近期我们收到部分用户反馈,对勒索病毒诱捕功能存在疑惑,针对用户的疑惑,我们编写了一篇对相关功能的简介,让大家有一些了解。

简介:

勒索病毒诱捕功能是4.0.23.0版本新加入的功能组件,设计目的主要是用于增强勒索类病毒的防护(此功能默认不开启)

功能的位置位于:恶意行为监控-增强勒索病毒防护-开启勒索病毒诱捕(属于恶意行为监控的补充特性)

勒索病毒诱捕功能的界面设置如下:





功能定义:

当开启该功能后,火绒安全软件会在系统盘符下创建两个具有隐藏属性的随机名文件目录,随机名文件目录里会有若干常见文件格式的随机文件,防护系统使用这些随机文件来诱捕勒索病毒,达到增强防护的目的。

注意事项:

当用户关机,创建的随机文件目录会自动删除。重启或开机又会重新创建新的随机文件目录。
开启勒索病毒诱捕功能,会自动创建随机文件目录,反之则自动删除。


众人拾柴火焰高:
勒索病毒诱捕功能是一个针对勒索的增强功能,可能存在不完善的地方,大家有任何的建议和想法,都欢迎提交给我们,我们都会认真查阅。






文档更新时间:2017-06-22 17:57

uusu 发表于 2017-6-27 00:14:30

本帖最后由 uusu 于 2017-6-27 00:23 编辑


发现不明文件,尴尬,现在知道那些文件是干什么的了。
枉我当初还在用户目录下找了半天,各种key和密钥,就是没看见陌生的。
这一堆乱码的隐藏文件我还真不认为有多少程序会中招,还在c盘根目录这种位置。
建议加关键词,放高价值位置。开启该功能时提示用户都在哪些位置放了什么文件

Izual_Yang 发表于 2017-7-22 12:29:34

uusu 发表于 2017-6-27 00:14
发现不明文件,尴尬,现在知道那些文件是干什么的了。
枉我当初还在用户目录下找了半天,各种key和密钥, ...

+1
文件格式看上去全是损坏的,我还以为是什么恶意软件

独木不成林 发表于 2018-2-24 14:27:00

{:6_200:}{:6_200:}

zhangkun122222 发表于 2018-5-25 19:39:15

excel怎么成了病毒了

冯子硕 发表于 2018-7-29 00:23:11

zhangkun122222 发表于 2018-5-25 19:39
excel怎么成了病毒了

这才是“诱捕功能”的真正体现啊!

五三多 发表于 2018-8-15 09:38:17

下面这个算不算诱捕到了?
12.113.248.2 看起来是公网地址,实际是我们企业内部网络的地址

Nobuchika 发表于 2018-8-15 11:30:03

五三多 发表于 2018-8-15 09:38
下面这个算不算诱捕到了?
12.113.248.2 看起来是公网地址,实际是我们企业内部网络的地址
...

勒索誘捕是在檔案加密中才會產生作用,您這個是黑客入侵攔截的"永恆之藍"漏洞入侵
具體可以參考這個帖子:https://bbs.huorong.cn/thread-45574-1-1.html

winchannel 发表于 2018-10-15 14:17:12

有一个问题:如果用户的系统盘不是C盘,或者C盘之前还有A盘B盘这种情况呢?岂不是数据全被加密了还没反应过来呢?

Nobuchika 发表于 2018-10-15 14:29:08

本帖最后由 Nobuchika 于 2018-10-15 14:32 编辑

winchannel 发表于 2018-10-15 14:17
有一个问题:如果用户的系统盘不是C盘,或者C盘之前还有A盘B盘这种情况呢?岂不是数据全被加密了还没反应过 ...
创建诱饵的盘符是系统盘{:5_170:}
在对抗勒索上,检测引擎和主防为主力,诱饵是前几项未检出的最后拦截手段。理论上创建再多诱饵都有被绕过的问题(例如检测修改时间、档案大小、特定名称绕过),有些做法是在每个资料夹中间塞一个类似名称的诱饵(隐藏文件),但容易造成使用者困扰,在非系统盘上创建诱饵的建议官方已经收录。

最理想的手段就是备份,以及直接透过自定义(HIPS)锁定要保护的文件夹,手动放行自己需要的程序(也就是自行管控白名单),虽然这方法有缺陷(像是白名单管控不够严格、手動放行了惡意程序等) ,但也是有效对抗勒索的方式。

winchannel 发表于 2018-10-15 20:31:40

Nobuchika 发表于 2018-10-15 14:29
创建诱饵的盘符是系统盘
在对抗勒索上,检测引擎和主防为主力,诱饵是前几项未检出的最后拦截手 ...

我还不太熟悉HIPS……有点好奇,锁定要保护的文件夹是怎么个锁定法?只允许白名单进程么?那如果那个程序的文件直接被篡改了,或者进程在运行中被劫持注入代码了呢?
Office加载的非微软dll也可能是有用的,比如各种插件(像EndNote就有一个CWYW插件)。

Nobuchika 发表于 2018-10-15 20:57:49

本帖最后由 Nobuchika 于 2018-10-15 22:43 编辑

winchannel 发表于 2018-10-15 20:31
我还不太熟悉HIPS……有点好奇,锁定要保护的文件夹是怎么个锁定法?只允许白名单进程么?那如果那个程序 ...
我双击的勒索有15种左右,真正遇到篡改的没几个{:5_170:}
目前我使用的方式是文件保险箱的思路,资料夹內的資料僅移入和移出,只放行资源管理器的进程,在系统加固勾选进程保护(防篡改、防注入),虽然不知道现在火绒防注入的效果如何就是了{:5_147:}

简单来说除了备份外的防御方式就那几种{:5_163:}

lkq 发表于 2018-12-25 15:00:21

其实有没有想过学习一下瑞星的人工智能引擎,诱饵是引擎拦不住后才发挥作用,重点是分析勒索病毒的行为共同点,从而进行根本上的拦截

小槟哥 发表于 2019-2-12 14:02:59

我通过文件搜索找到了那些诱饵文件。。。{:6_195:}

zjf20070104 发表于 2019-2-13 09:19:34

小槟哥 发表于 2019-2-12 14:02
我通过文件搜索找到了那些诱饵文件。。。

66666666666666666666
页: [1] 2 3 4 5 6 7
查看完整版本: 勒索病毒诱捕功能简介