作者SakeruMT (天桥说书)
看板AntiVirus
标题[心得] Ransomfree 防勒索攻击软体
时间Tue Jan 3 10:25:17 2017
最近在网路上发现一个防勒索的工具,
Ransomfree想分享给大家
软体下载网址:
https://ransomfree.cybereason.com/
根据描述,他是以勒索攻击的行为模式做出判断,
因此不必更新病毒码,
也不会与原本电脑上的防毒软体发生冲突
http://imgur.com/8wIXKCY
作用原理的部份,
是在你的桌面设下Honeypot,
并监控这个资料夹(唯读、隐藏)
http://imgur.com/g1ylWk3
Ransomfree把常见的文件副档名都放在这个资料夹,
http://imgur.com/SYldMWG
根据卡饭论坛有人实测,
当这个软体发生作用时,甚至可进一步还原被加密的档案,
然而由於是Honeypot的设计,对於随机挑选目标攻击,
或着不是一开始就攻击C:~\\桌面
的勒索软体就无法马上反应过来,
但是依照行为模式的拦截方法,
已经能够有效拦截大多数的勒索攻击了。
最後还是要提醒,重要的资料要经常备份,
云端硬碟、随身碟、都是便宜又好用的备份。
这一类的软体,只是用来辅助使用免费防毒,
部份功能尚未完善的使用者做补强用。
--
我觉得
安丽是世界上最强的直销了
秀丞科美如雅葡贺美安 ◥▁▁▁▁ ◢
其他的应该废除
得燕士安新芳众宝乐丽 ◤
██ /-
美公威公公公公芙家公
□–□◢◤
如果各位有兴趣的话可以加入我们
安丽 公司公司司司司公公司
▼ㄑ ◢
但是要经过选拔
司 司 司司 ▼ㄧ /◣
因为我们只会接受精英 绝对不会接受
垃圾@
图ψ ◢ /◣– ◤ /█◣
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.168.225.160
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1483410325.A.8D4.html
1F:推 katoai: 感谢分享 马上来试试看!01/03 14:37
2F:推 PenguinLee: 谢谢您~01/03 16:13
3F:→ mayuyu: 测试结果很惨01/03 18:03
5F:→ mayuyu: 而且还有重大缺陷01/03 18:03
6F:→ mayuyu: 而且还有重大缺陷01/03 18:03
8F:→ mayuyu: 免费防勒索目前比较好的01/03 18:04
10F:→ mayuyu: 不过免费版一样有弱点01/03 18:04
11F:→ mayuyu: 防勒索还是用沙盒最好01/03 18:04
12F:推 mayuyu: 对比影片 Comodo vs. Ransomfree01/03 18:18
14F:→ mayuyu: 用勒索软体模拟器测试01/03 18:18
15F:→ mayuyu: Ransomfree不会侦测Honeypot以外的行为 所以全部失败01/03 18:18
16F:→ mayuyu: 而Comodo则是「我不会失败」xD01/03 18:18
17F:→ mayuyu: 所以建议anti-exe 或者沙盒最方便01/03 18:19
18F:→ mayuyu: Comodo的自动沙盒 凡是不认识的软体都丢沙盒01/03 18:19
19F:→ mayuyu: 或者是Sandboxie 把浏览器和可疑软体丢沙盒运行01/03 18:19
20F:推 Mosen2887: M大您的影片点进去都是显示无法提供此影片..01/03 22:55
21F:→ sam613: honeypot法容易回避,还有改进空间01/03 23:14
Comodo是不错,刚刚有装来尝试,
但以它罗嗦的程度,
有些使用者可能会觉得很痛苦
(话说我刚试了才知道PCMan-Combo自带热门首页,要求的行为这麽多...HIPS狂跳)
※ 编辑: SakeruMT (223.141.108.72), 01/04/2017 00:01:53
※ 编辑: SakeruMT (180.217.64.203), 01/04/2017 00:05:30
22F:→ George017: 现在不建议继续用Combo版(除非他的IE核心有升级) 01/04 00:25
23F:→ George017: 是说M大的影片我倒是看得到(我用桌电看) 01/04 00:26
24F:→ SakeruMT: 我马上移除掉 01/04 00:39
25F:推 mayuyu: @Mosen2887 影片我打开都可以看 应该是正常的 01/04 01:03
26F:→ mayuyu: 可能你上网的位置被YouTube阻挡? 01/04 01:03
27F:→ mayuyu: 第一个影片是测试Ransomfree对20种常见的勒索软体 01/04 01:03
28F:→ mayuyu: 结果阻挡失败了7次 7/20 阻挡成功的比例不高 01/04 01:03
29F:→ mayuyu: 所以影片的up主不推荐这个软体 01/04 01:04
30F:→ mayuyu: 影片二是up主经人提醒追加 发现这个软体有一个重大的缺陷 01/04 01:04
31F:→ mayuyu: 它竟然无法防护C槽以外的分割区 即使病毒有被成功阻挡 01/04 01:04
32F:→ mayuyu: 也只是C槽的文件有被保护 C槽以外的文件仍然会被加密 01/04 01:04
33F:→ mayuyu: 这是去年12/22的测试 後来官方有更新版 01/04 01:05
34F:→ mayuyu: 但是一样不会保护C槽以外的文件 所以结论就是这个软体无用 01/04 01:05
35F:→ mayuyu: 影片三也是经人推荐 up主发现这个免费软体很有趣 01/04 01:05
36F:→ mayuyu: 所以紧急做了测试影片 这个软体防御成功的比例比较高 01/04 01:05
37F:→ mayuyu: 但是免费版有注明不能保护MBR 所以作者也没测锁MBR的病毒 01/04 01:05
38F:→ mayuyu: 作者认为 对於常见的勒索病毒 没有做到100%的防护 01/04 01:05
39F:→ mayuyu: 其实就没有意义 所以他一直推荐使用沙盒 01/04 01:06
40F:→ mayuyu: 影片四是用勒索模拟器测试Comodo的自动沙盒和Ransomfree 01/04 01:06
41F:→ mayuyu: 结果毫无意外 Comodo的自动沙盒当然是100%完全免疫 01/04 01:06
42F:→ mayuyu: 废话不免疫还叫沙盒 而Ransomfree则是100%完全中毒 01/04 01:06
43F:→ mayuyu: 作者以前有制作另外的影片推荐他的Comodo设定 01/04 01:07
44F:→ mayuyu: 不用烦人的HIPS 其实只要开自动沙盒 就几乎完全无敌了 01/04 01:07
45F:→ mayuyu: 或者是如果你的系统防毒软体可以和Sandboxie相容 01/04 01:07
46F:→ mayuyu: (据说KIS 2017最新版已经可以和Sandboxie相容了) 01/04 01:07
47F:→ mayuyu: 将浏览器和任何可疑软体丢到沙盒里执行 01/04 01:07
48F:→ mayuyu: 就不需要用侦测软体行为的方法 反正就让病毒在沙盒里乱搞 01/04 01:08
49F:→ mayuyu: 对真实系统一点影响也没有 事後再把沙盒清空就好了 01/04 01:08
50F:→ mayuyu: 对於一直变种的病毒传统侦测方法终究会有赶不上变化的时候 01/04 01:08
51F:→ mayuyu: 沙盒或者锁住程式启动、限制读写资料夹 01/04 01:08
52F:→ mayuyu: 的防御方式我觉得是比较好的做法 01/04 01:09
53F:推 cys070: comodo他们现在就主打黑白名单+自动沙盒 01/04 09:35
54F:→ cys070: 反正不认识就帮你自动入沙,这是比较保险方法 01/04 09:36
55F:推 cys070: 另外comdo 10版沙盒内输入法已经可以正常使用 01/04 09:54
56F:推 KNVSEOC: 现在不开sandboxie根本不敢上网 01/04 11:46
57F:→ George017: KIS 2017可以相容喽?如果是真的那可真是个好消息 01/04 23:32
58F:→ mayuyu: Sandboxie论坛有人回报在最新版的KIS上目前可以成功 01/05 20:33
59F:→ mayuyu: 启动沙盒 只是不确定是否在所有系统环境下都能100%成功 01/05 20:33
60F:→ mayuyu: 所以还是要自己试了才知道(装个免费试用版 不成功再杀掉 01/05 20:34
61F:→ mayuyu: 其实2016发生问题的时候Sandboxie的开发人员有联系 01/05 20:34
62F:→ mayuyu: 卡巴斯基 希望可以解决冲突的问题 不过联系了几次 01/05 20:34
63F:→ mayuyu: 卡巴方都没有回应 所以Sandboxie也放弃继续沟通 01/05 20:34
64F:→ mayuyu: 这次不知道卡巴修改了什麽 突然Sandboxie就可以用了 01/05 20:34
65F:→ mayuyu: 希望可以一直保持下去xD 01/05 20:34