唉,开年来开工第一天,发现电脑中的了.[shonpen@mailfence.com].Elbie勒索病毒,由于中毒的电脑是远程电脑,自己不在,公司又出于安全考虑直接给我全部硬盘格式化了,我连我那些文件能用可以备份都没给我备份。里面我的一些个人作品文档什么的都没了undefined,电脑挂载了alist网盘聚合的webdav,导致我的云盘文件也有一部分被加密,真是倒霉透顶,电脑上只装了一个电脑管家,年前有用远程桌面,是借用rustdesk在家里搭建的中继远程连接的,电脑没有账户密码,不知道是不是远程中的,2月2号就放假了,电脑一直没有关机,然后加密文件修改信息是显示2月7号凌晨开始加密的。整个公司开工来就我一台电脑全部被加密了,然后另外一台电脑的一个文件夹被加密了,不知道是不是我这个电脑感染过去的。
我看勒索病毒加密过程会对全部分区进行扫描遍历加密,这个过程会频繁的访问文件,修改文件,可以开发一种监控和防护策略来识别这种潜在的恶意行为么,特别是像勒索病毒这样的威胁。通过监控软件对已有文件的修改频率,并在达到某个阈值时提醒用户(不怕误报的用户开启,默认关闭),可以为用户提供一种机制来及时识别并响应潜在的恶意活动。
比如以下这些功能机制:
文件监控机制:首先,需要实现一个文件监控机制,可以定期扫描系统中的重要文件或目录,并记录下文件的修改情况。这包括文件的创建、修改、删除等操作。
行为分析:接下来,通过分析监控到的文件操作数据,可以识别出哪些文件被频繁修改。这可能需要设定一些阈值,比如单位时间内修改的文件数量、修改频率等。
用户提醒:当达到或超过这些阈值时,系统可以生成一个提醒,通知用户有软件正在频繁修改文件。提醒可以包括详细的文件列表、修改时间、修改类型等信息,以帮助用户判断是否正常。
用户响应:用户收到提醒后,可以决定是否允许该软件继续工作。如果确认是合法的软件行为,用户可以选择允许;如果怀疑是恶意行为,用户可以选择停止相关进程。
自动化响应:除了用户手动响应外,还可以设置自动化响应机制。例如,在检测到可疑行为时,可以自动隔离相关进程或文件,以防止进一步的损害。
日志记录和报告:所有监控到的文件操作、用户响应和自动化响应都应详细记录,以便后续分析和报告。
还有现在ai不是这么厉害么,有没有专门开发ai的杀毒软件智能的学习分辨哪些属于人为的正常操作,哪些是非正常的操作,比如勒索病毒这种其实人一眼看过去就知道是不正常的,但是怎么让软件理解这个也是不正常的,然后及时关闭对应的进程,然后杀毒防护这些尼。