[閒聊] 不要再中勒索軟體了(+EMET說明,有用的請看)

看板AntiVirus作者 (  )時間9年前 (2016/03/08 19:02), 9年前編輯推噓19(19052)
留言71則, 26人參與, 最新討論串1/1
一陣子沒見到災情, 最近又有點死灰復燃的感覺,所以想丟一點撇步供參考。 1. Email 附檔盡量不要開 除了可執行檔,尤其 js、vbs、shs、bat 這類指令碼變種、加密非常多樣化, 防毒軟體常常偵測不到。不要以為 js 只是純文字就認為安全, js 這種東西點兩下打開的不是記事本不是瀏覽器,是從背景跑 wscript 自動 從網站下載惡意程式執行,看都看不到,防不慎防。 * 再補一個,Office 系列檔案有巨集的也很危險,不要傻傻的就去點「啟用巨集」。 2. 你需要漏洞防護 「我明明什麼都沒點啊,逛逛網站怎麼還是中標!」 因為你的 Windows 有洞、IE 有洞、Flash 有洞、Java 有洞…通通都是洞, 它就是有辦法做到讓你一邊上網一邊自動下載執行惡意程式。 微軟免費提供的 EMET 能替一些常用的 Windows 程式加點額外保護。 即使如此也不要忘記隨時保持軟體最新版本或者乾脆關掉千瘡百孔的 Flash。 有些防毒軟體也提供這種功能,那就不用另備了不然可能會打架自爆。 Malwarebytes 也提供免費的 Anti-Exploit,選一個裝就好。 運氣好時它們能阻止漏洞被利用,所以惡意程式不會被執行, 但是它們不能「阻止勒索軟體」,你要是手賤硬要執行它們是不會擋的。 比如說單純一個木馬連結,出現問你要下載還是執行這種不會擋。 不怕麻煩的再找個沙盒之類的會更安全 (…但就是麻煩) 3. 我用 Mac OS 無敵對不對? 壞消息是: Mac OS 的勒索軟體已經出爐了。 最近有個叫 KeRanger 的勒索軟體混入 Mac OS BT 客戶端 Transmission。 http://gigazine.net/news/20160307-first-os-x-ransomware/ 4. 我有裝防火牆耶,為什麼還是中標 防火牆有在設規則嗎?還是全自動好方便?或是跳什麼通通允許? 我是覺得懶人型防火牆根本沒有用 (不過有些有配合檔案信譽的就好多了) 像 Windows 防火牆預設只阻止連入連線,程式愛怎麼鑽他是完全不會擋的。 再舉一個我購入的 G DATA 防火牆預設的 Autopilot 像一樣, 美意是自動判斷,但結果就是什麼都自動允許, 我連拿木馬、拿廣告來測通通都是自動允許,到底請你來做什麼? 自建規則亂設也不行,我之前為了玩遊戲就設成允許 Domain Service, 結果新增的規則是 svchost.exe 通通允許。偏偏勒索軟體最愛 svchost.exe, 注入後隨便你下載、開後門、跑加密等壞事,它就是這麼神奇。 有些看來像是私人作品的勒索軟體根本連連線都不連線, 也不拐彎抹角行為一堆搞注入搞開機啟動,而是直接就狂讀狂寫, 跑加密直接霸氣留 Email 要你直接來找,防火牆不見得有用。 5. 我有防毒,小紅傘喔,是不是很安全呢 小紅傘的行為防護是0是0是0。 很重要所以要說三遍。你就算用付費版也還是0,掃不到就是中獎。 論執行後的防禦我覺得小紅傘搞不好還比 Windows Defender 差。 當然不是說有什麼主動防禦、行為防護、HIPS…blahblah 就是我無敵我高枕無憂, 但是勒索軟體的行為總有固定模式 (雖然一直在變), 防毒軟體廠商也一直在更新規則希望能擋下來,多一層保護總是比較好。 像卡巴斯基好不只是好在他的掃描和他的雲端檔案信譽, 最重要的還有他的系統監控和應用程式控制,而這也是一些免費軟體欠缺的。 工商連結 漏洞防護: Microsoft EMET https://support.microsoft.com/zh-tw/kb/2458544 Malwarebytes Anti-Exploit https://www.malwarebytes.org/antiexploit/ 注意 不要同時裝多套,簡單的 EMET 設定附在文章後面了 用 EMET 的一定要設一下,不然預設的保護項目不多 自稱可以防勒索的軟體: Hitman.Pro Alert (這款是公認的強大,也包括漏洞防護了,但是要付費) http://www.surfright.nl/en/alert Malwarebytes Anti-Ransomware (BETA測試版,小心使用) http://tinyurl.com/jh59xap BitDefender AntiCryptoLocker http://bit.ly/Cryptolocker 其實都是老調重彈。 另外我自己沒有中標經驗,也沒有精實的電腦知識, 有什麼不對的請盡量批評補充。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.121.189.142 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1457434956.A.907.html
03/08 19:41, , 1F
同樣沒中過推,主動離線備份最實在
03/08 19:41, 1F
03/08 20:09, , 2F
03/08 20:09, 2F
03/08 20:10, , 3F
很早就把flash關閉 凡是要看的 都手動打開
03/08 20:10, 3F
03/08 20:10, , 4F
看twitch 等 會有點不方便 但至少安心一些
03/08 20:10, 4F
03/08 21:44, , 5F
推一個 我只有裝小紅傘 到現在一個都沒中過 廣告和一些
03/08 21:44, 5F
03/08 21:44, , 6F
可疑連結不要亂點幾乎八成的病毒都不會中
03/08 21:44, 6F
03/08 21:55, , 7F
LUA+SRP 或許也有點作用
03/08 21:55, 7F
03/08 22:23, , 8F
請問一下Anti-Exploit是否能有效阻擋利用網頁植入病毒、
03/08 22:23, 8F
03/08 22:24, , 9F
網頁廣告病毒與勒索軟體等透過網頁植入的管道呢?
03/08 22:24, 9F
我 G DATA 裝到現在漏洞防止完全沒有跳過任何訊息, 所以我不敢說這類防護「一定有效」。 但是在虛擬機測試舊版 FLASH 搭漏洞測試的網頁, EMET 和 MBAE 都能夠阻擋。 我也不知道去哪裡生病毒網頁所以沒辦法真的去一一測試。
03/08 22:26, , 10F
推~
03/08 22:26, 10F
03/08 23:33, , 11F
重點是,每個中獎的人都哭訴資料很重要,但我納悶的是
03/08 23:33, 11F
03/08 23:33, , 12F
很重要怎麼不備份……我覺得除了原po你說的部分,更要
03/08 23:33, 12F
03/08 23:33, , 13F
建立“正確”的備份觀念,我看不少人覺得把檔案從c槽
03/08 23:33, 13F
03/08 23:33, , 14F
複製到d槽就是備份…花個幾千塊買隨身硬碟或網路硬碟真
03/08 23:33, 14F
03/08 23:33, , 15F
的比起全部的努力遺失還要便宜太多了
03/08 23:33, 15F
03/08 23:41, , 16F
不懂電腦的人常常對C槽D槽沒概念啊...
03/08 23:41, 16F
03/08 23:41, , 17F
至於隨身硬碟,可能很多人對隨身碟的印象不太好
03/08 23:41, 17F
03/08 23:41, , 18F
ex:容易中毒or資料常不見
03/08 23:41, 18F
03/08 23:42, , 19F
所以沒想到隨身硬碟是個簡單又可靠的備份方式吧
03/08 23:42, 19F
03/08 23:58, , 20F
外接硬碟備份別一直插著...有很多人都...
03/08 23:58, 20F
03/09 00:03, , 21F
插著對電腦來說就跟內接硬碟一樣啦
03/09 00:03, 21F
03/09 00:11, , 22F
我是用網路空間備份,檔案有增減或修改時才會上線同步,
03/09 00:11, 22F
03/09 00:12, , 23F
平常時PC端程式不會一直開著,不過現在網頁內藏病毒那麼
03/09 00:12, 23F
03/09 00:13, , 24F
頻繁,有沒強烈建議哪隻程式防這塊很有效的呢?
03/09 00:13, 24F
真要推哪個很有效,我不知道,抱歉。 看有沒有板友能給意見了。
03/09 00:35, , 25F
推優文
03/09 00:35, 25F
03/09 00:41, , 26F
最近老板電腦才中這...很怕他哪個公事隨身碟沒弄乾淨,就..
03/09 00:41, 26F
03/09 00:47, , 27F
~"~有些人說只瀏覽網頁就中鏢了耶
03/09 00:47, 27F
03/09 02:39, , 28F
是呀~瀏覽網頁的中獎案例會讓人覺得這方面的防護很重要
03/09 02:39, 28F
03/09 02:39, , 29F
除了開版大的訓提供外,也期待有其他高手的專業推薦了
03/09 02:39, 29F
03/09 07:14, , 30F
漏了一個重點,Adobe Acrobat 也是有漏洞的一定要更新
03/09 07:14, 30F
03/09 07:31, , 31F
怕的話就用2台電腦 另一台專門用來還原就好 2台不要互聯
03/09 07:31, 31F
03/09 07:31, , 32F
區網 帳密不重複登入 這是目前最棒的辦法
03/09 07:31, 32F
03/09 22:58, , 33F
我用的是付費版小紅傘 某些小廣告連結會出現警示訊息
03/09 22:58, 33F
03/09 22:59, , 34F
雖然不太確定是基於什麼理由擋就是 (訊息回報?)
03/09 22:59, 34F
03/10 09:32, , 35F
推! Flash和JAVA外掛早就砍了 已經過時
03/10 09:32, 35F
03/10 10:18, , 36F
講了很多,但是有啥用?過幾天還是一堆文章說中了
03/10 10:18, 36F
03/10 10:18, , 37F
然後問怎麼辦,要不要付錢,備份檔案移到其他電腦會
03/10 10:18, 37F
03/10 10:18, , 38F
不會也感染?
03/10 10:18, 38F
03/10 16:44, , 39F
想請教最新版chrome,ff的內建的pdf會有漏洞嗎?
03/10 16:44, 39F
還是要回:不知道。 就是因為不知道哪裡還有洞沒補起來才會被攻擊, 那些現在被說不要再用了的版本也曾經是最新版過。
03/11 15:14, , 40F
覺的會中的還是會中 沒中都不知道痛 囧rz
03/11 15:14, 40F
03/11 23:56, , 41F
借問一下Anti-Exploit禁止開啟ptt上的連結 如何開放呢
03/11 23:56, 41F
你是用什麼軟體?EMET 還是 Malwarebytes 的。 測試之後 PCMan 和 PTTChrome 都沒有這種問題 ,我大概沒辦法幫你。 ---- 以下無關 ---- 再補充一下。 EMET 和 Malwarebytes Anti-Exploit 不要同時使用,必當。 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1457434956.A.907.html Microsoft EMET 任何程式都可以加,不過不用什麼都加。 確認你常用的瀏覽器、播放器、PDF閱讀器… 這類容易接觸外來檔案的程式有保護就好了。 如果你加了一直當…那那那,我也不知道。 可能是有衝到得取消某些保護。 (update) 剛安裝好的推薦設定只有一些基本程式, 抱歉我一直改 不過微軟已經先做好一些常用的程式設定放著了。 直接點選 Import... Popular Software 就會加進常用的程式。 http://i.imgur.com/zHEkIzP.png
其他想加的發現沒有在列表(點上面的Apps看)也可以自己加, 以 Chrome 為例 (只是舉例,如果你有匯入清單那是已經有包含) 你高興要從左上點 Apps ... 然後 Add 也可以,只是要找路徑麻煩。 1. 建議先打開想加的程式,然後再開啟 EMET 介面。 直接在下面程式清單找到比如說 Chrome,點一下右鍵。 再點 [ Configure Process... ] http://i.imgur.com/pPVItU2.png
2. 他會自己加進去受保護清單,點一下 OK 就好了。 http://i.imgur.com/jrs7ZX5.png
3. 會出現一條訊息說你可能需要重新開啟程式。 http://i.imgur.com/xfpfx2S.png
4. 重新啟動 Chrome 並且 Refresh 或重開 EMET 介面, 看到有個綠色的勾勾出來就是 OK 了。 http://i.imgur.com/BPPhqcU.png
Malwarebytes Anti-Exploit 不需要設定 免費版無法自訂要保護的程式, 所以只有最常用的瀏覽器等軟體受到保護, 如果你用比較小眾的瀏覽器要注意。 (清單中鎖是開的或沒有在清單中代表沒有保護) http://i.imgur.com/aAJfGIi.png
如果覺得每次開瀏覽器都有泡泡很煩可以關掉。 http://i.imgur.com/Qj6nBVI.png
03/12 09:46, , 42F
掛EMET當掉會顯示哪個功能造成的,可以取消勾選,不過通常是
03/12 09:46, 42F
03/12 09:46, , 43F
程式太老舊或是真的中毒造成
03/12 09:46, 43F
03/12 10:28, , 44F
謝謝! 原來是免費版無法自訂要保護的程式 沒關係我只試用
03/12 10:28, 44F
03/12 10:33, , 45F
真的逛些下載論壇還不會中毒之後 再考慮購買
03/12 10:33, 45F
你也可以用 EMET 就好,反正都不用錢。 我一開始寫得好像 EMET 要錢似的 (反省中)
03/12 16:59, , 46F
Ok, 謝謝你的建議哦!
03/12 16:59, 46F
03/12 19:22, , 47F
這幾天安裝了Malwarebytes Anti-Exploit與Hitman.Pro Al
03/12 19:22, 47F
03/12 19:22, , 48F
ert付費版,都可以保護瀏覽器、Office、PDF與Media Play
03/12 19:22, 48F
03/12 19:28, , 49F
er,H牌多了防側錄、防網路攝影機盜錄與勒索軟體防護等
03/12 19:28, 49F
03/12 19:38, , 50F
功能,另H牌只能保護透過安裝程序的瀏覽器,免安裝方式
03/12 19:38, 50F
03/12 19:39, , 51F
的瀏覽器就無法防護囉,簡單測試心得
03/12 19:39, 51F
剛剛遇到有樣本可以過 HitmanPro.Alert 的 Cryptoguard, 還是千萬小心。
03/12 21:27, , 52F
那請問是怎麼發現的呢? 防毒軟體的主防還是?
03/12 21:27, 52F
03/12 21:57, , 53F
我無聊去抓的,主防也不見得有用
03/12 21:57, 53F
03/13 00:20, , 54F
主防+掃毒+漏洞更新與防護+瀏覽習慣+備份,這幾個步驟都
03/13 00:20, 54F
03/13 00:21, , 55F
做了還中獎實在是很倒楣,可是不做也不行啊~
03/13 00:21, 55F
03/13 00:22, , 56F
還有別亂點連結與亂開檔案
03/13 00:22, 56F
03/13 22:01, , 57F
實用 想請問如果有卡巴又裝EMET會打架嗎?
03/13 22:01, 57F
03/13 22:21, , 58F
(答非所問)卡巴系統監控已有弱點入侵防護,不需要EMET
03/13 22:21, 58F
03/13 22:38, , 59F
剛下載的樣本加密速度極快,雙擊即開始加密.
03/13 22:38, 59F
新發現,之前以為過的那個樣本啊,根本就是假勒索真詐財 他居然只是透過 CMD 搜尋一些特定副檔名的檔案把副檔名改成 crypted, 然後就想跳網頁出來跟你討錢。 大概解釋了為什麼幾乎所有軟體都沒有報這個,這實在太白癡了啊。
03/13 22:56, , 60F
虛擬機W1064bit10240+KIS1600614a+EMET5.5平時是沒有當
03/13 22:56, 60F
03/13 22:57, , 61F
版本有點舊但我懶得更新,卡巴更新超慢的
03/13 22:57, 61F
03/14 17:46, , 62F
弱弱的問一下,是否將被改過副檔名的檔案再改回原本正確
03/14 17:46, 62F
03/14 17:48, , 63F
的副檔名就可以呢? 利用人性恐懼的心理再用一個小伎倆來
03/14 17:48, 63F
03/14 17:50, , 64F
詐取錢財,各家大廠真的會去重視這種不算病毒的病毒嗎?
03/14 17:50, 64F
對,上面提的那個是改回來就好。 那個樣本是 JS,會生出 CMD 檔案執行順便下載其他惡意程式。 JS, VBS, BAT, JAR ...等大部分主防、雲之類的都不會報, 要重視應該也沒辦法,只能靠掃描了。 這種他們還是會入庫,畢竟不是開玩笑而已是真的挺惡意。 ※ 編輯: brianuser (114.47.172.146), 03/14/2016 19:21:32
03/14 19:23, , 65F
mac 的勒索病毒是別人開放原始碼說病毒可以這樣寫
03/14 19:23, 65F
03/14 19:23, , 66F
結果真的招有心人士寫成KeRanger病毒感染transmission
03/14 19:23, 66F
03/14 19:24, , 67F
現在transmission已經放上乾淨版 至於中了還是中了...
03/14 19:24, 67F
03/16 13:45, , 68F
我是直接重要資料丟NAS備份完就關機
03/16 13:45, 68F
03/16 13:45, , 69F
Dropbox和GD也是全部跟NAS定期同步完就關機
03/16 13:45, 69F
03/16 13:45, , 70F
防不了病毒,至少檔案加減能有備份
03/16 13:45, 70F
03/17 19:01, , 71F
感謝教學文
03/17 19:01, 71F
更多 brianuser 的文章
文章代碼(AID): #1Mth5Ca7 (AntiVirus)