勤勞的做 Backup 就是了 :agree:
然後 Backup 的電腦/硬碟不要一直連接網路 :think:

弟不會寫程式.. 所以也不知道實作的難易度
以下是爬文後東想西想想出來的...

前說：
既然勒索病毒是針對目標進行加密，那可自行偽裝(或加密起來)成別的類型檔案
以避免被破壞？
就是讓主要目標變次要或是非攻擊目標達到免疫的效果

不曉得壓縮檔是不是目標之一，如不是的話
就圖檔而言
把圖檔都壓縮起來.. 然後用可讀取壓縮檔中圖片的瀏覽程式也是一種方法

直接設唯讀應該也可防範.. 詳見此篇：
https://www.ptt.cc/bbs/AntiVirus/M....1648.A.3A3.html

--------

後來想到一個比較簡單控管方式，剛好看到了GiliSoft File Lock這個軟體..
簡介：https://getitfree.cn/16624.html
延伸出來的想法.. 下面這方法並沒有將勒索病毒的目標隱藏只是做程式的控管(簡單講手段沒用上加密與改檔名)所以還是主要目標...

就是以單一程式指定欲保護的副檔名指定其關聯程式...
1.是編輯與瀏覽程式，並設定開啟編輯程式需輸入密碼、或簡易人工辨識提問；如其它程式需要編輯或瀏覽得先取得權限

2.是移動、複製、刪除用時的程式如檔案總管(權限同1)---當然這邊建議採用第三方的軟體如(Q-DIR、Total Commander、Directory Opus、Xyplorer)並禁用系統附帶的檔案總管，因為最多人使用的最危險，就像以前使用率最高的WINDOWS自帶的IE瀏覽器一樣

這種方式做好後會有個盲點，因須在背景常駐..，因為寫入需透過它以開啟指定程式.. 所以容易被偵測到，入侵者會轉而想關掉這個控管軟體、或取得它的權限

當沒有這個軟體時如何保護勒索病毒的目標？於是問題又回到了上一篇文
妥善備份、
安置假的攻擊目標~如PPT上有人指出的關機手段以減輕災情，

但也有網友指出最難的是我怎麼知道木馬他潛伏多久才發作？
一個是備份系統得全新安裝無網路含驅動(有時候就是在抓來路不明的驅動時出了問題)
有的人只備份系統C分割區.. 中了這毒也是很慘@@

------------------------------------------
另一個方法是在自己系統上自行定義出幾種類型來取代原來的攻擊目標... 可是同時要能夠編輯這如何實現就有問題
或.XYZ 指定為.DOC 但原已有的DOC.. 就得上傳雲端備份了
(當然備份不一定得連網)

還有一個方法使用唯讀系統編輯檔案，記得幾年前在這邊看到有版友就這樣幹：把WINWDOWS放在隨身碟中 全部作業都在記憶體中完成，那完成便上傳，這樣也可防範

--------------------

另一種思維是假設病毒已拿到權限後得採取什麼步驟方能完成在背景加密與改檔名、(通知你付款)

拿到權限 應會用上搜尋、用上加密
那如何廢了搜尋？(的回報功能)... 只是自己再用第三方搜尋軟體(綁密碼)也可但若對方用的是自己的手段.. 那這邊就又回到權限控管的部份

這是一個，或進一部讓搜尋回報的部份絕對(絕對現實上是不可能的.. 只能儘量了)傳出假訊息--->找不到目標(僅能找到假目標)

當他們進行到加密的步驟時，關鍵再如何讓"加密必須具備的條件"無法俱足，進而讓系統無法加密
(如停用 Windows Script Host、此是一個.. 但方法應該有很多)


據說因為勒索容易獲利，於是有人販賣相關程式，
因為門檻不高導致許多人都能夠寫出屬於自己的加密模式，也就是這裡難於預防，因為病毒總是會不斷變種

但這方法還是比不上讓他們找不到目標好... 就是上一步
讓搜尋後傳出假的訊息(搜無此檔)也是一種手段...
但是不放置些待攻擊的目標也不太好，因為若此法可行大家都這樣防範... 他們也可能來個嚴重的病毒.. 怒而毀之.. 轉移目標改攻擊讓系統無法開機等

----------------
矛盾與盾的對決

即使能免疫了... 不過勒索的手段也會不斷更新的
就像防毒軟體公司也得有病毒的蔓延才能生存下去

而防治的方法也是很難都不改變的而有效的
因為系統也會更新、也會補漏洞.. 勒索手段也會因此不斷進化
但也正因如此，資安才會如此達到現在的規模

聽說國防系統、股市交易系統是密閉式的..
再一開始設計的時候就把安全性考量了進去
==================================

最好的方法 我想應該是 電腦中儘量不要放任何想要珍藏的東西
只要不要遇到會損害硬體的攻擊... 大不了重灌就是

科摩多趕在年底前出10.0
沙盒底下瀏覽器輸入法已經可正常使用
新版除了之前網友提的新沙盒
另外就是增加一個安全購物(類似卡巴 Safe Money)
檔案評價多了清除功能，之前8.x只能手動慢慢刪，現在可以幫你把無效都找出來清掉

Comodo Internet Security 10
http://download.comodo.com/cis/down...m_installer.exe

Comodo Firewall 10
http://download.comodo.com/cis/down...w_installer.exe

勒索病毒就是他設定的附檔名針對這些檔案做加密吧

目前是透過漏洞(某程式中的或是系統中的)

取得系統最高權限對檔案進行加密

所以不會有UAC提示

PTT這篇設成唯讀的技巧

是可以防治 還未透過漏洞強制把唯讀的勒索病毒 擋住

通過良好謹慎的上網習慣其實就能免疫

備份最重要QQ

不然就是要有一台stand-alone的存儲環境

自D :eek: :eek: :eek: :eek:

快把IE 網路連線封掉 又有人中標勒......
看來有人說用CHROME或火狐會中標的 都是手賤先去開IE再來怪東怪西:stupefy: :stupefy:
https://www.ptt.cc/bbs/AntiVirus/M....2292.A.615.html

這串裡也有人建議使用ubuntu Live Boot進去把沒被加密的檔案搬出來.



:think:

不備份+手太賤 其實沒啥意義了 早被加密光光了

很多都是慢半拍才發現 為時已晚

不先把系統格式化 再按到進系統 災情更嚴重 :stupefy: :stupefy:

機車 今天我也中
晚上發現我硬碟的電視劇電影動畫漫畫都被改檔名了(*.b607) 趕快拔掉網路線 然後搜尋*.b607
拔掉網路線以後感染檔案數目沒增加就把感染檔案全砍了 用PE把系統槽FORMAT
這勒索病毒是從我的最大磁區下手的

好險沒感染我的音樂跟個資還有軟體文件夾 遊戲原始檔(其實是有感染到音樂檔 但我平常有備份 沒什麼損失)
用AIT還原OS以後確定沒再跑出*.b607 就把其他硬碟接上

X的 我裝BILLGUARD+FIREFOX(POLICEMAN)都還會中...

現在再多裝COMODO FIREWALL 開沙盒!!!!!


:mad: :mad: :mad: :mad: :mad: :mad:

很多都是從IE入侵的....
https://www.ptt.cc/bbs/AntiVirus/M....6374.A.C87.html