火绒安全软件

标题: 勒索病毒诱捕功能简介 [打印本页]

作者: HuoRong丶小宇 时间: 2017-6-22 17:58
标题: 勒索病毒诱捕功能简介
前言：

各位亲爱的火绒用户：您好！近期我们收到部分用户反馈，对勒索病毒诱捕功能存在疑惑，针对用户的疑惑，我们编写了一篇对相关功能的简介，让大家有一些了解。

简介：

勒索病毒诱捕功能是4.0.23.0版本新加入的功能组件，设计目的主要是用于增强勒索类病毒的防护（此功能默认不开启）

功能的位置位于：恶意行为监控-增强勒索病毒防护-开启勒索病毒诱捕（属于恶意行为监控的补充特性）

勒索病毒诱捕功能的界面设置如下：

1.1.png

功能定义：

当开启该功能后，火绒安全软件会在系统盘符下创建两个具有隐藏属性的随机名文件目录，随机名文件目录里会有若干常见文件格式的随机文件，防护系统使用这些随机文件来诱捕勒索病毒，达到增强防护的目的。

注意事项：

当用户关机，创建的随机文件目录会自动删除。重启或开机又会重新创建新的随机文件目录。
开启勒索病毒诱捕功能，会自动创建随机文件目录，反之则自动删除。

众人拾柴火焰高：
勒索病毒诱捕功能是一个针对勒索的增强功能，可能存在不完善的地方，大家有任何的建议和想法，都欢迎提交给我们，我们都会认真查阅。

文档更新时间：2017-06-22 17:57

作者: uusu 时间: 2017-6-27 00:14
本帖最后由 uusu 于 2017-6-27 00:23 编辑

捕获2.PNG

发现不明文件，尴尬，现在知道那些文件是干什么的了。
枉我当初还在用户目录下找了半天，各种key和密钥，就是没看见陌生的。
这一堆乱码的隐藏文件我还真不认为有多少程序会中招，还在c盘根目录这种位置。
建议加关键词，放高价值位置。开启该功能时提示用户都在哪些位置放了什么文件

作者: Izual_Yang 时间: 2017-7-22 12:29

uusu 发表于 2017-6-27 00:14
发现不明文件，尴尬，现在知道那些文件是干什么的了。
枉我当初还在用户目录下找了半天，各种key和密钥， ...

+1
文件格式看上去全是损坏的，我还以为是什么恶意软件

作者: 独木不成林 时间: 2018-2-24 14:27

作者: zhangkun122222 时间: 2018-5-25 19:39
excel怎么成了病毒了

作者: 冯子硕 时间: 2018-7-29 00:23

zhangkun122222 发表于 2018-5-25 19:39
excel怎么成了病毒了

这才是“诱捕功能”的真正体现啊！

作者: 五三多 时间: 2018-8-15 09:38
下面这个算不算诱捕到了？
12.113.248.2 看起来是公网地址，实际是我们企业内部网络的地址
微信图片_20180815093439.png

作者: Nobuchika 时间: 2018-8-15 11:30

五三多发表于 2018-8-15 09:38
下面这个算不算诱捕到了？
12.113.248.2 看起来是公网地址，实际是我们企业内部网络的地址
...

勒索誘捕是在檔案加密中才會產生作用，您這個是黑客入侵攔截的"永恆之藍"漏洞入侵
具體可以參考這個帖子:https://bbs.huorong.cn/thread-45574-1-1.html

作者: winchannel 时间: 2018-10-15 14:17
有一个问题：如果用户的系统盘不是C盘，或者C盘之前还有A盘B盘这种情况呢？岂不是数据全被加密了还没反应过来呢？

作者: Nobuchika 时间: 2018-10-15 14:29
本帖最后由 Nobuchika 于 2018-10-15 14:32 编辑

winchannel 发表于 2018-10-15 14:17
有一个问题：如果用户的系统盘不是C盘，或者C盘之前还有A盘B盘这种情况呢？岂不是数据全被加密了还没反应过 ...

创建诱饵的盘符是系统盘

在对抗勒索上，检测引擎和主防为主力，诱饵是前几项未检出的最后拦截手段。理论上创建再多诱饵都有被绕过的问题(例如检测修改时间、档案大小、特定名称绕过)，有些做法是在每个资料夹中间塞一个类似名称的诱饵(隐藏文件)，但容易造成使用者困扰，在非系统盘上创建诱饵的建议官方已经收录。

最理想的手段就是备份，以及直接透过自定义(HIPS)锁定要保护的文件夹，手动放行自己需要的程序(也就是自行管控白名单)，虽然这方法有缺陷(像是白名单管控不够严格、手動放行了惡意程序等) ，但也是有效对抗勒索的方式。

作者: winchannel 时间: 2018-10-15 20:31

Nobuchika 发表于 2018-10-15 14:29
创建诱饵的盘符是系统盘
在对抗勒索上，检测引擎和主防为主力，诱饵是前几项未检出的最后拦截手 ...

我还不太熟悉HIPS……有点好奇，锁定要保护的文件夹是怎么个锁定法？只允许白名单进程么？那如果那个程序的文件直接被篡改了，或者进程在运行中被劫持注入代码了呢？
Office加载的非微软dll也可能是有用的，比如各种插件（像EndNote就有一个CWYW插件）。

作者: Nobuchika 时间: 2018-10-15 20:57
本帖最后由 Nobuchika 于 2018-10-15 22:43 编辑

winchannel 发表于 2018-10-15 20:31
我还不太熟悉HIPS……有点好奇，锁定要保护的文件夹是怎么个锁定法？只允许白名单进程么？那如果那个程序 ...

我双击的勒索有15种左右，真正遇到篡改的没几个

目前我使用的方式是文件保险箱的思路，资料夹內的資料僅移入和移出，只放行资源管理器的进程，在系统加固勾选进程保护(防篡改、防注入)，虽然不知道现在火绒防注入的效果如何就是了

简单来说除了备份外的防御方式就那几种

作者: lkq 时间: 2018-12-25 15:00
其实有没有想过学习一下瑞星的人工智能引擎，诱饵是引擎拦不住后才发挥作用，重点是分析勒索病毒的行为共同点，从而进行根本上的拦截

作者: 小槟哥 时间: 2019-2-12 14:02
我通过文件搜索找到了那些诱饵文件。。。

作者: zjf20070104 时间: 2019-2-13 09:19

小槟哥发表于 2019-2-12 14:02
我通过文件搜索找到了那些诱饵文件。。。

66666666666666666666

作者: hua23819259 时间: 2019-3-19 17:56

lkq 发表于 2018-12-25 15:00
其实有没有想过学习一下瑞星的人工智能引擎，诱饵是引擎拦不住后才发挥作用，重点是分析勒索病毒的行为共同 ...

你用瑞星?

作者: lkq 时间: 2019-3-25 12:33

hua23819259 发表于 2019-3-19 17:56
你用瑞星?

试过，但误报有点高

作者: misakarinkon 时间: 2019-4-15 22:51
哈哈哈，看了一开始以为是病毒或者恶意程序生成的文件的，不是我一个人

作者: saidianchi 时间: 2019-5-14 17:58
帮我拦截了不少恶意网址。很开心。

作者: 毛茸茸的米奇 时间: 2019-6-8 20:50
小白开启该功能，会不会造成困扰麻烦。好像对安全有用，但具体不知道。

作者: Nobuchika 时间: 2019-6-9 10:00

毛茸茸的米奇发表于 2019-6-8 20:50
小白开启该功能，会不会造成困扰麻烦。好像对安全有用，但具体不知道。

不會造成困擾
原理是在C槽前後放隱藏資料夾，平常用戶不會去開系統槽，也不會誤觸發

可以安心開啟。

作者: hsxxs 时间: 2019-10-3 10:03
我去。。。我今天早上看见C盘多了两个莫名其妙的文件夹，以为是毒，刚写完了好长一篇帖子，就看到了这个

作者: Nobuchika 时间: 2019-10-3 10:42

hsxxs 发表于 2019-10-3 10:03
我去。。。我今天早上看见C盘多了两个莫名其妙的文件夹，以为是毒，刚写完了好长一篇帖子，就看到了这个 ...

https://bbs.huorong.cn/thread-55975-1-1.html

有任何問題，可以查閱非官方手冊~

作者: a223 时间: 2019-10-3 10:54

Nobuchika 发表于 2019-10-3 10:42
https://bbs.huorong.cn/thread-55975-1-1.html

有任何問題，可以查閱非官方手冊~

你这个帖子只在茶话区的置顶里有，其它版块的置顶的没有，不好找啊

作者: Nobuchika 时间: 2019-10-3 11:09

a223 发表于 2019-10-3 10:54
你这个帖子只在茶话区的置顶里有，其它版块的置顶的没有，不好找啊

這是考慮到，過多置頂會造成版面混亂(一長串的置頂)，畢竟這手冊是非官方製作
僅適合放在非重點區

作者: 斩天及 时间: 2019-11-15 07:27
我之前自己建立过这东西，在“1”这个文件夹里放置了各种扩展名的文件，然后建了个“2&...”的文件夹。自己写的批处理每10分钟检测这些文件有没有被修改。

但是，如果防不住呢？如果这病毒比较聪明避开了这种陷阱。感觉预防勒索者是不是应该提供个文件加密、解密的功能？

作者: Liebeqi 时间: 2019-11-29 12:53
感谢分享！！！

作者: Nobuchika 时间: 2019-11-29 16:28

斩天及发表于 2019-11-15 07:27
我之前自己建立过这东西，在“1”这个文件夹里放置了各种扩展名的文件，然后建了个“2&...”的文件夹。自己 ...

其實不用批處理監測
直接用火絨HIPS監測這些誘餌資料夾(寫入/刪除)，之後在規則名稱上註記

只要觸發不要點阻止，點"結束進程"，就能直接把勒索程序結束掉

作者: Nobuchika 时间: 2019-11-29 16:30

斩天及发表于 2019-11-15 07:27
我之前自己建立过这东西，在“1”这个文件夹里放置了各种扩展名的文件，然后建了个“2&...”的文件夹。自己 ...

至於防禦勒索的規則
規則區有個反攻擊規則，那個勒索防禦的思路更好一些

作者: 魏亚逆 时间: 2019-11-30 23:04
hello，我这好像不止两个随机文件夹啊。。。不知道是不是火绒的

作者: 魏亚逆 时间: 2019-11-30 23:06
我这好像不止两个随机文件夹。。。

C盘目录

作者: neal 时间: 2020-3-10 12:29
win10 下的winword就这样被隔离了，火绒还原失败，但是win10的默认安装路径又不让访问，不想改权限，怎么恢复？

作者: 重庆客运段 时间: 2020-3-10 14:17

neal 发表于 2020-3-10 12:29
win10 下的winword就这样被隔离了，火绒还原失败，但是win10的默认安装路径又不让访问，不想改权限，怎么恢 ...

@火绒运营专员

作者: 火绒运营专员 时间: 2020-3-10 17:43

neal 发表于 2020-3-10 12:29
win10 下的winword就这样被隔离了，火绒还原失败，但是win10的默认安装路径又不让访问，不想改权限，怎么恢 ...

麻烦你添加QQ3158498132. 我们看下，感谢您的反馈~

作者: 顾梓豪 时间: 2020-3-14 11:32

魏亚逆发表于 2019-11-30 23:06
我这好像不止两个随机文件夹。。。

应该是你的电脑有十几个病毒吧

作者: 汪子凯本人 时间: 2020-3-26 11:45

魏亚逆发表于 2019-11-30 23:06
我这好像不止两个随机文件夹。。。

关键人家是隐藏属性的

作者: 汪子凯本人 时间: 2020-3-26 11:48
所以说这个是什么工作原理呢？

作者: 左右为男 时间: 2020-3-26 12:11

冯子硕发表于 2018-7-29 00:23
这才是“诱捕功能”的真正体现啊！

没看懂，大佬能麻烦解释一下嘛

作者: qwe836239264 时间: 2020-3-29 20:09

左右为男发表于 2020-3-26 12:11
没看懂，大佬能麻烦解释一下嘛

思路：勒索病毒会加密文件，加密顺序是按文件（夹）名称来算的，所以只要创建一个文件夹，让文件夹保持在第一名并且监控文件夹里的文件，只要动了里面的文件就会触发规则。不过现在火绒只在C盘的根目录创建了诱捕文件夹，现在的勒索基本是加密桌面、文档、下载、用户和其他盘的文件，所以现在官方的勒索诱捕用处不大，如果想增强对勒索病毒的防御可以试试我发的规则，在规则区里

作者: qwe836239264 时间: 2020-3-29 20:17
@HuoRong丶小宇官员，现在官方的勒索诱捕规则可以完善一下吗？
一、有些病毒会跳过隐藏文件夹。
二、有些会跳过空格和符号开头，建议诱捕文件夹以0开头。
三、加密位置会选在桌面、文档、图片、下载、视频、音乐、其他盘根目录，从系统盘根目录开始加密的不多见了。
四、要是觉得第三点麻烦的话可以让用户自定义诱捕文件夹的目录

作者: a223 时间: 2020-3-29 20:19

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇官员，现在官方的勒索诱捕规则可以完善一下吗？
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

@火绒运营专员才对

作者: 火绒运营专员 时间: 2020-3-30 13:27

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇官员，现在官方的勒索诱捕规则可以完善一下吗？
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

您好，帮您转交给相关人员，感谢您的反馈~

作者: LEOX 时间: 2020-3-30 22:13

汪子凯本人发表于 2020-3-26 11:48
所以说这个是什么工作原理呢？

当有程序试图改动这些文件时，强行终止该程序并移动至隔离区

作者: HuoRong、Huo 时间: 2020-4-2 10:00

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇官员，现在官方的勒索诱捕规则可以完善一下吗？
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

您好，关于您建议中提到的勒索病毒会“跳过隐藏文件夹”“跳过空格和符号开头”“加密位置会选在桌面、文档、图片、下载、视频、音乐”等情况，您是否曾遭遇过？能否详细说说呢？另外，有此特征的勒索病毒名称可否提供下？

作者: 火绒运营专员 时间: 2020-4-7 16:57

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇官员，现在官方的勒索诱捕规则可以完善一下吗？
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

您好，一直没有收到您的回复，您还在继续跟进吗？

作者: a223 时间: 2020-4-7 17:20
本帖最后由 a223 于 2020-4-7 17:31 编辑

HuoRong、Huo 发表于 2020-4-2 10:00
您好，关于您建议中提到的勒索病毒会“跳过隐藏文件夹”“跳过空格和符号开头”“加密位置会选在桌面、文 ...

https://bbs.kafan.cn/thread-2164109-1-1.html 5楼
https://bbs.kafan.cn/thread-2164024-1-1.html 7楼
https://bbs.kafan.cn/thread-2164199-1-1.html 3楼
@火绒运营专员

作者: 火绒运营专员 时间: 2020-4-8 14:14

a223 发表于 2020-4-7 17:20
https://bbs.kafan.cn/thread-2164109-1-1.html 5楼
https://bbs.kafan.cn/thread-2164024-1-1.html 7楼
h ...

您好，已经转交给工程师，感谢您的反馈！

作者: 总有刁民想害朕 时间: 2020-4-9 10:14
考古考古

作者: there 时间: 2020-5-3 11:51
为什么打开诱捕文件会报毒？还把我程序删了？

作者: TIANCHONGGUANG 时间: 2020-5-4 17:29

there 发表于 2020-5-3 11:51
为什么打开诱捕文件会报毒？还把我程序删了？

啊，我没有这样

作者: 火绒运营专员 时间: 2020-5-11 16:54

a223 发表于 2020-4-7 17:20
https://bbs.kafan.cn/thread-2164109-1-1.html 5楼
https://bbs.kafan.cn/thread-2164024-1-1.html 7楼
h ...

你好，火绒升级到下一版本，已添加行为分析，感谢您的反馈！

作者: a223 时间: 2020-5-11 17:06
本帖最后由 a223 于 2020-5-11 17:35 编辑

火绒运营专员发表于 2020-5-11 16:54
你好，火绒升级到下一版本，已添加行为分析，感谢您的反馈！

不要只是加个行为规则就完事了，求你增强勒索诱捕，设个全盘而且只对explorer隐藏的诱捕会怎么了？
@火绒运营专员

作者: Rettdeniu 时间: 2020-5-24 20:42
本帖最后由 Rettdeniu 于 2020-5-24 20:43 编辑

我想问一下，这意思是不是引诱勒索病毒攻击计算机？如果真是这样的话如果火绒没拦到那就。。。。。。我只能在VMWare里默默的为火绒贡献了

作者: z1379 时间: 2020-5-24 20:45

Rettdeniu 发表于 2020-5-24 20:42
我想问一下，这意思是不是引诱勒索病毒攻击计算机？如果真是这样的话如果火绒没拦到那就。。。。。。我只能 ...

认真看啊，谁会傻到这样做？？

作者: Nobuchika 时间: 2020-5-24 20:50

Rettdeniu 发表于 2020-5-24 20:42
我想问一下，这意思是不是引诱勒索病毒攻击计算机？如果真是这样的话如果火绒没拦到那就。。。。。。我只能 ...

不是。
这只是利用旧型勒索的加密模式进行拦截，原理是有不明程式动到诱饵档后提示。

作者: Rettdeniu 时间: 2020-5-24 20:57
本帖最后由 Rettdeniu 于 2020-5-24 21:01 编辑

Nobuchika 发表于 2020-5-24 20:50
不是。
这只是利用旧型勒索的加密模式进行拦截，原理是有不明程式动到诱饵档后提示。 ...

请问会影响电脑正常使用吗？（比如说正常文件报毒）

作者: Rettdeniu 时间: 2020-5-24 21:22
本帖最后由 Rettdeniu 于 2020-5-24 21:25 编辑

Nobuchika 发表于 2020-5-24 20:50
不是。
这只是利用旧型勒索的加密模式进行拦截，原理是有不明程式动到诱饵档后提示。 ...

哦，意思就是说只要有程序对这些生成的文件进行操作，火绒就会将其报为勒索病毒，从而达到防护的目的？妙啊！

作者: Nobuchika 时间: 2020-5-24 23:29
本帖最后由 Nobuchika 于 2020-5-24 23:30 编辑

Rettdeniu 发表于 2020-5-24 20:57
请问会影响电脑正常使用吗？（比如说正常文件报毒）

不会影响
因为这些文件是隐藏的，正常程式不会动到这些档案，也不要主动去开启或删除。

作者: Nobuchika 时间: 2020-5-25 09:54

Rettdeniu 发表于 2020-5-24 21:22
哦，意思就是说只要有程序对这些生成的文件进行操作，火绒就会将其报为勒索病毒，从而达到防护的目的？妙 ...

https://bbs.huorong.cn/thread-55975-1-1.html
Q1有具体的示例

作者: Rettdeniu 时间: 2020-5-31 18:14

五三多发表于 2018-8-15 09:38
下面这个算不算诱捕到了？
12.113.248.2 看起来是公网地址，实际是我们企业内部网络的地址
...

企业想要控制你的电脑？

作者: Rettdeniu 时间: 2020-5-31 18:17

小槟哥发表于 2019-2-12 14:02
我通过文件搜索找到了那些诱饵文件。。。

请问你搜索了哪些词，在哪个目录下？我也想要那些文件

作者: dljt 时间: 2020-6-3 10:32

Rettdeniu 发表于 2020-5-31 18:17
请问你搜索了哪些词，在哪个目录下？我也想要那些文件

C盘底下，要显示系统文件和隐藏文件，一般是一个英语单词加两三位数字

作者: dljt 时间: 2020-6-3 10:34

dljt 发表于 2020-6-3 10:32
C盘底下，要显示系统文件和隐藏文件，一般是一个英语单词加两三位数字

我的叫 config115 和Zstore600，每次开机不一样

作者: hebart001 时间: 2020-6-22 15:01

斩天及发表于 2019-11-15 07:27
**** 作者被禁止或删除内容自动屏蔽 ****

额........关于解密可以查看这篇文章

作者: 嘻哈喜欢4.0 时间: 2020-6-22 15:32
不都5.0了吗？

作者: jiangmingbin 时间: 2020-8-16 15:55

Nobuchika 发表于 2018-10-15 20:57
我双击的勒索有15种左右，真正遇到篡改的没几个
目前我使用的方式是文件保险箱的思路，资料夹內 ...

这里的交流，不怕被做勒索病毒的黑客看到，然后做出针对性对策吗？

作者: abcdefghi 时间: 2020-8-17 08:12
火绒把我wps给杀了

作者: 火绒运营专员 时间: 2020-8-17 09:56

abcdefghi 发表于 2020-8-17 08:12
火绒把我wps给杀了

麻烦报毒日志看下，方便的可以添加QQ284816209 我们跟进处理，感谢反馈

作者: abcdefghi 时间: 2020-8-17 11:05

火绒运营专员发表于 2020-8-17 09:56
麻烦报毒日志看下，方便的可以添加QQ284816209 我们跟进处理，感谢反馈

我是用wps打开了诱捕用的doc文档，想看看里面是什么。

作者: Nobuchika 时间: 2020-8-25 09:26

jiangmingbin 发表于 2020-8-16 15:55
这里的交流，不怕被做勒索病毒的黑客看到，然后做出针对性对策吗？

没什么大问题，毕竟攻击和防御的思路都是差不多的，有效的手段就那些，只是打扰使用者的多寡而已

作者: www. 时间: 2020-8-25 09:30

jiangmingbin 发表于 2020-8-16 15:55
这里的交流，不怕被做勒索病毒的黑客看到，然后做出针对性对策吗？

“做出针对性对策”？
你确定？
你当那么简单？
要是杀软真像你想的那么容易对付，那就早没了

作者: abcdefghi 时间: 2020-12-17 16:47

happy_king 发表于 2020-12-15 20:52
@火绒运营专员
快看，我用wps打开勒索病毒诱饵，结果把我wps给杀了，希望工程师干快修复呀{:5_12 ...

你从隔离区恢复一下

作者: 19880910ts 时间: 2021-2-2 14:04
这个功能是不是改改进了？

作者: 十亿少女的情 时间: 2021-8-10 11:31
这功能赞

作者: funken 时间: 2021-8-16 19:52
直接写几个规则就好了，除了办公软件可以修改办公文件，其它软件都不能改，只能读，然后再写条规则保护办公软件不被修改基本就OK了，就是几条文件规则的事

作者: 化悲痛为力量 时间: 2021-11-20 16:58
谢谢普及，能单独详细的介绍一下挖矿病毒吗？

作者: 化悲痛为力量 时间: 2022-1-31 13:34
期待火绒越来越好！

作者: SMARK 时间: 2022-2-17 20:15

uusu 发表于 2017-6-27 00:14
**** 作者被禁止或删除内容自动屏蔽 ****

建议不用提示用户放在了什么地方，朋友永远藏着最危险的。。容易被不法分子知晓、熟悉火绒套路，避开程序诱捕。
你会用的东西，难道开发病毒的人不会吗？

作者: 写病毒的恶魂 时间: 2022-3-28 23:56
请问这玩意有什么副作用呀

作者: KrisTHL 时间: 2022-4-27 22:11

uusu 发表于 2017-6-27 00:14
**** 作者被禁止或删除内容自动屏蔽 ****

好像是对那些生成文件夹进行操作的就报毒
（比如勒索加密他）

作者: 章鱼123 时间: 2022-5-16 20:25

uusu 发表于 2017-6-27 00:14
**** 作者被禁止或删除内容自动屏蔽 ****

要选择显示隐藏的文件，还要选择显示被隐藏保护的系统文件才能找到

作者: klmk 时间: 2022-6-9 09:39
这个功能设计挺好的。
火绒监控这些生成的文件被谁访问（打开）就会判别这个软件是不是勒索软件（系统自动软件除外，白名单）
这些功能的前提就是火绒这个程序还在系统上运行。如果是 .360 这样的勒索就有问题了。把火绒给全部退出这些所谓的（勒索病毒诱捕功能）也只是纸上谈兵。
尽可能把火绒退出设计的（不那么容易），开启这个勒索病毒诱捕功能推荐设置火绒退出需要密码等安全措施。

作者: mayunqing 时间: 2022-6-19 21:39
相比较了下瑞星之剑，希望火绒创建的诱饵文件能在Windows资源管理器中隐藏，像火绒有驱动和system级别的权限是可以实现这个技术的。另外，文件名和内容不要太过于随机，勒索可以判断文件名的大体情况来决定加密，文件后缀要有企业会遇到的.sql或.db这类

作者: 火绒运营专员 时间: 2022-6-20 09:19

mayunqing 发表于 2022-6-19 21:39
相比较了下瑞星之剑，希望火绒创建的诱饵文件能在Windows资源管理器中隐藏，像火绒有驱动和system级别的权 ...

您好，现已将您的建议转交，感谢您的反馈。

作者: 火绒运营专员 时间: 2022-6-21 17:49

mayunqing 发表于 2022-6-19 21:39
相比较了下瑞星之剑，希望火绒创建的诱饵文件能在Windows资源管理器中隐藏，像火绒有驱动和system级别的权 ...

您好，现已将您的建议收录，感谢您的反馈

【ID：3766】

作者: RSA4096 时间: 2022-7-22 09:17
用wps打开火绒的勒索诱捕文档，然后火绒报毒，把wps给隔离了

作者: aa2026 时间: 2022-9-4 00:55

写病毒的恶魂发表于 2022-3-28 23:56
请问这玩意有什么副作用呀

第一个，官方说默认不开启，其实是默认开启的。刚刚我发现了这两个文件夹，以为中招了，各种测试和处理，比如打开一下excel文件看看。。。。然后我的office挂了。。。

作者: sxp3468 时间: 2022-10-22 13:26
原来如此困扰好一阵子

作者: MHLS 时间: 2023-3-19 21:09

火绒运营专员发表于 2022-6-21 17:49
您好，现已将您的建议收录，感谢您的反馈

火绒用来诱捕勒索的文件都是每天新建的，会不会引起勒索的怀疑，从而不去加密。能不能让火绒对一个或两个进行诱捕的文件永久不删除。我还想咨询官人一个问题，回滚能不能修复被勒索加密的文件？

作者: 火绒运营专员 时间: 2023-3-20 09:33

MHLS 发表于 2023-3-19 21:09
火绒用来诱捕勒索的文件都是每天新建的，会不会引起勒索的怀疑，从而不去加密。能不能让火绒对一个或两个 ...

1.勒索病毒不会对是否是新建文件进行判断。
2.长期存在诱捕文件，您是想解决什么问题呢？
3.如果之前有备份可以回滚恢复到之前的节点~

作者: MHLS 时间: 2023-3-20 19:59

火绒运营专员发表于 2023-3-20 09:33
1.勒索病毒不会对是否是新建文件进行判断。
2.长期存在诱捕文件，您是想解决什么问题呢？
3.如果之前有备 ...

我没有什么相关的问题，长期存在诱捕文件只是我的一个想法

作者: hhxq 时间: 2023-10-26 15:37
个人觉得除了系统盘，桌面也要设置诱饵，现在大部分的勒索软件都是先加密桌面文件。没几个人把工作文件放根目录的。

作者: 火绒运营专员 时间: 2023-10-26 15:42

hhxq 发表于 2023-10-26 15:37
个人觉得除了系统盘，桌面也要设置诱饵，现在大部分的勒索软件都是先加密桌面文件。没几个人把工作文件放根 ...

感谢您的反馈，后续会根据安全问题改进防护方法的。

作者: 破帽遮颜 时间: 2024-2-23 07:49

winchannel 发表于 2018-10-15 14:17
有一个问题：如果用户的系统盘不是C盘，或者C盘之前还有A盘B盘这种情况呢？岂不是数据全被加密了还没反应过 ...

呃，说点小白语，就我有限知识来看，a、b都是软驱盘符，主启动只能c，改成其它盘符是异常路径，系统本身已经不健全了。

作者: Star天祈 时间: 2024-12-16 08:02

hsxxs 发表于 2019-10-3 10:03
**** 作者被禁止或删除内容自动屏蔽 ****

服了我也是...

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)