火绒安全软件

火绒产品公告
发新帖
打印 上一主题 下一主题

[产品公告] 勒索病毒诱捕功能简介

  [复制链接]
738312 96
楼主
发表于 2017-6-22 17:58:40 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
前言:

各位亲爱的火绒用户:您好!近期我们收到部分用户反馈,对勒索病毒诱捕功能存在疑惑,针对用户的疑惑,我们编写了一篇对相关功能的简介,让大家有一些了解。

简介:

勒索病毒诱捕功能是4.0.23.0版本新加入的功能组件,设计目的主要是用于增强勒索类病毒的防护(此功能默认不开启)

功能的位置位于:恶意行为监控-增强勒索病毒防护-开启勒索病毒诱捕(属于恶意行为监控的补充特性)

勒索病毒诱捕功能的界面设置如下:






功能定义:

当开启该功能后,火绒安全软件会在系统盘符下创建两个具有隐藏属性的随机名文件目录随机名文件目录里会有若干常见文件格式的随机文件,防护系统使用这些随机文件来诱捕勒索病毒,达到增强防护的目的。

注意事项:

当用户关机,创建的随机文件目录会自动删除。重启或开机又会重新创建新的随机文件目录。
开启勒索病毒诱捕功能,会自动创建随机文件目录,反之则自动删除。


众人拾柴火焰高:
勒索病毒诱捕功能是一个针对勒索的增强功能,可能存在不完善的地方,大家有任何的建议和想法,都欢迎提交给我们,我们都会认真查阅。






文档更新时间:2017-06-22 17:57

评分

参与人数 13金钱 +50 收起 理由
漫天星光 + 5 为什么你这么给力??
tfy@ + 5 内容超赞!!!
daytimenightly + 1 加油!
GPU + 5 内容超赞!!!
嘎蹦脆 + 5 内容超赞!!!
momo2012 + 2
电脑迷 + 5 为什么你这么给力??
mlzc + 1 为什么你这么给力??
明茶秋毫 + 5 内容超赞!!!
abc123cell + 1 不错,支持了!!
happy_king + 5 内容超赞!!!希望火绒越做越好,加油鸭.
QVM360 + 5 版区有你更精彩:)
HR无敌 + 5 内容超赞!!!

查看全部评分

回复

使用道具 举报

738312 96
沙发
发表于 2017-6-27 00:14:30 | 只看该作者
本帖最后由 uusu 于 2017-6-27 00:23 编辑


发现不明文件,尴尬,现在知道那些文件是干什么的了。
枉我当初还在用户目录下找了半天,各种key和密钥,就是没看见陌生的。
这一堆乱码的隐藏文件我还真不认为有多少程序会中招,还在c盘根目录这种位置。
建议加关键词,放高价值位置。开启该功能时提示用户都在哪些位置放了什么文件
回复

使用道具 举报

738312 96
板凳
发表于 2017-7-22 12:29:34 | 只看该作者
uusu 发表于 2017-6-27 00:14
发现不明文件,尴尬,现在知道那些文件是干什么的了。
枉我当初还在用户目录下找了半天,各种key和密钥, ...

+1
文件格式看上去全是损坏的,我还以为是什么恶意软件
回复

使用道具 举报

738312 96
地板
发表于 2018-2-24 14:27:00 | 只看该作者
回复

使用道具 举报

738312 96
5#
发表于 2018-5-25 19:39:15 | 只看该作者
excel怎么成了病毒了
回复

使用道具 举报

738312 96
6#
发表于 2018-7-29 00:23:11 | 只看该作者
zhangkun122222 发表于 2018-5-25 19:39
excel怎么成了病毒了

这才是“诱捕功能”的真正体现啊!
回复

使用道具 举报

738312 96
7#
发表于 2018-8-15 09:38:17 | 只看该作者
下面这个算不算诱捕到了?
12.113.248.2 看起来是公网地址,实际是我们企业内部网络的地址
回复

使用道具 举报

738312 96
8#
发表于 2018-8-15 11:30:03 | 只看该作者
五三多 发表于 2018-8-15 09:38
下面这个算不算诱捕到了?
12.113.248.2 看起来是公网地址,实际是我们企业内部网络的地址
...

勒索誘捕是在檔案加密中才會產生作用,您這個是黑客入侵攔截的"永恆之藍"漏洞入侵
具體可以參考這個帖子:https://bbs.huorong.cn/thread-45574-1-1.html
回复

使用道具 举报

738312 96
9#
发表于 2018-10-15 14:17:12 | 只看该作者
有一个问题:如果用户的系统盘不是C盘,或者C盘之前还有A盘B盘这种情况呢?岂不是数据全被加密了还没反应过来呢?
回复

使用道具 举报

738312 96
10#
发表于 2018-10-15 14:29:08 | 只看该作者
本帖最后由 Nobuchika 于 2018-10-15 14:32 编辑
winchannel 发表于 2018-10-15 14:17
有一个问题:如果用户的系统盘不是C盘,或者C盘之前还有A盘B盘这种情况呢?岂不是数据全被加密了还没反应过 ...

创建诱饵的盘符是系统盘
在对抗勒索上,检测引擎和主防为主力,诱饵是前几项未检出的最后拦截手段。理论上创建再多诱饵都有被绕过的问题(例如检测修改时间、档案大小、特定名称绕过),有些做法是在每个资料夹中间塞一个类似名称的诱饵(隐藏文件),但容易造成使用者困扰,在非系统盘上创建诱饵的建议官方已经收录。

最理想的手段就是备份,以及直接透过自定义(HIPS)锁定要保护的文件夹,手动放行自己需要的程序(也就是自行管控白名单),虽然这方法有缺陷(像是白名单管控不够严格、手動放行了惡意程序等) ,但也是有效对抗勒索的方式。

点评

的确是这样,所以我一般都不开。  发表于 2022-1-23 15:22
回复

使用道具 举报

738312 96
11#
发表于 2018-10-15 20:31:40 | 只看该作者
Nobuchika 发表于 2018-10-15 14:29
创建诱饵的盘符是系统盘
在对抗勒索上,检测引擎和主防为主力,诱饵是前几项未检出的最后拦截手 ...

我还不太熟悉HIPS……有点好奇,锁定要保护的文件夹是怎么个锁定法?只允许白名单进程么?那如果那个程序的文件直接被篡改了,或者进程在运行中被劫持注入代码了呢?
Office加载的非微软dll也可能是有用的,比如各种插件(像EndNote就有一个CWYW插件)。
回复

使用道具 举报

738312 96
12#
发表于 2018-10-15 20:57:49 | 只看该作者
本帖最后由 Nobuchika 于 2018-10-15 22:43 编辑
winchannel 发表于 2018-10-15 20:31
我还不太熟悉HIPS……有点好奇,锁定要保护的文件夹是怎么个锁定法?只允许白名单进程么?那如果那个程序 ...

我双击的勒索有15种左右,真正遇到篡改的没几个
目前我使用的方式是文件保险箱的思路,资料夹內的資料僅移入和移出,只放行资源管理器的进程,在系统加固勾选进程保护(防篡改、防注入),虽然不知道现在火绒防注入的效果如何就是了

简单来说除了备份外的防御方式就那几种

回复

使用道具 举报

738312 96
13#
发表于 2018-12-25 15:00:21 | 只看该作者
其实有没有想过学习一下瑞星的人工智能引擎,诱饵是引擎拦不住后才发挥作用,重点是分析勒索病毒的行为共同点,从而进行根本上的拦截
回复

使用道具 举报

738312 96
14#
发表于 2019-2-12 14:02:59 | 只看该作者
我通过文件搜索找到了那些诱饵文件。。。
回复

使用道具 举报

738312 96
15#
发表于 2019-2-13 09:19:34 | 只看该作者
小槟哥 发表于 2019-2-12 14:02
我通过文件搜索找到了那些诱饵文件。。。

66666666666666666666
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表