这位叔叔要教勒索软件一些做人的道理(2)
陷阱文件就是伪装一个适合勒索软件加密的文件放到磁盘里,只要能保证让勒索软件不知道哪些文件是陷阱文件,勒索软件就必然会加密这个陷阱文件。为什么要保证勒索软件不知道?因为陷阱文件也会存一个配置文件,判断这个软件是否是陷阱文件。 当受害者的机器不小心感染并运行了勒索软件之后,勒索软件就会遍历磁盘,并且寻找符合加密文件进行加密,接着勒索软件刚好加密到陷阱文件,当加密陷阱文件时,由于文件发生变化,就会被陷阱检测系统检测到。 哼哼哈哈吼吼,抓到了勒索软件这个小婊砸! 第二步:启动清除当系统检测到陷阱文件发生了变化以后,会先阻断(使加密线程进入等待状态)当前的勒索软件的加密操作,触发还原清除系统开始进入还原清除步骤。 宝宝的反击要开始了! 还原系统会比较当前系统盘中的文件与上次还原点中系统盘的文件的差异变化,然后把记录这些变化后会重启一次系统,重启系统以后清除系统会第一时间把记录下的变化文件全部清掉。因为勒索软件肯定是在这些变化的差异文件中,因此就会一同把勒索软件给清掉,原理类似于windows系统还原。 哼哼哈哈吼吼,把勒索软件这个小婊砸从电脑里踢出去! 第三步:还原文件不过,不要高兴太早,虽然检测和清除了勒索软件,在遇到陷阱文件之前,勒索软件肯定已经加密了一些文件。怎么办? 挽回损失! 此时,就可以通过备份保护系统把被加密的文件还原回来,因为这些被加密的文件在被加密时文件备份系统都会对其进行备份的。这样就保证哪怕中了勒索软件不仅可以清掉,而且还可以把被勒索软件所加密的文件还原回来。 哼哼哈哈吼吼,没损失不在怕的! 四为了完善这个软件,倪茂志发挥了“左右互搏”的精神! 自己想一个坑,然后填一个坑(和自己过不去的典范)。 坑1:陷阱文件怎么保护?“如果你知道陷阱文件,就算放在云端,勒索软件也能知道,因此要增加陷阱文件的随机性,让用户设置陷阱文件,勒索软件就无法准确的判断哪些是陷阱文件。” 世界上最可怕的加密就是,人心!!! 坑2:哪有那么大的空间给系统文件备份?“备份系统最容易遭受攻击,到处是坑,备份系统理念是什么?对小文件进行备份,对大文件进行保护,保护是只允许你读,不允许你删除和修改,从普通用户的实际应用角度来看,大文件更改几率比较小,小文件更改频率会很大,所以,对小文件进行备份,对大文件不进行备份是基于效率,如果对大文件也进行备份,写入磁盘的最大吞吐量是一定的,对大文件进行备份会影响用户体验,用户会骂娘的。” 坑3:备份空间应该设置成多大?如果勒索软件从C盘开始遍历,C盘是100兆,D盘是200兆,E盘是300兆,最佳备份空间是什么?就是300兆,如果从C盘便利到陷阱文件是100兆、200兆、300兆,其实备份空间保留300兆就够了,可以保证如果从C盘先加密加密到陷阱文件,顶多占用100兆。 在具体操作过程中还有逆序遍历,从后往前遍历,就是挑出最大值就可以了。但是如果现在同时对三个磁盘加密怎么办?同时加密就会发300兆可能不够,这时100+200+300兆,600兆够了。 倪茂志说,按照目前这种方法,基本上已知和未知的勒索软件都能被防住。但是这款“勒索软件终结者”有一个使用须知:只适合知道自己什么文件值得保护的人使用。潜台词就是: ,。 (编辑:ASP站长网) |