談?wù)劮啦《镜幕竟?/h1>

2015-06-21 15:07:42齊建軍

計(jì)算機(jī)與網(wǎng)絡(luò)訂閱 2015年12期 收藏

關(guān)鍵詞：木馬備份文檔

齊建軍

談?wù)劮啦《镜幕竟?/p>

齊建軍

現(xiàn)在有一種名叫敲詐者類的病毒，操作系統(tǒng)中如果中了該病毒的話，就會導(dǎo)致硬盤里的所有文檔、圖片文件及壓縮包等等的文件遭到病毒的高強(qiáng)度加密，如果你想要取回這些文檔，目前只有一個辦法，那就是交贖金。

敲詐者類病毒的危害

受害者需要在96小時(shí)內(nèi)支付指定比特幣贖金，否則文件將永久無法打開?？墒窃趪鴥?nèi)就算中招者想要使用比特幣來支付贖金，也會遇到一系列的困難。病毒作者正是利用了比特幣的匿名性來逃避警方的追查。

文件被加密了不會解密么？有網(wǎng)友問到，該病毒可不是那種采用虛假隱藏目錄來“加密”文件的病毒，而是采用隨機(jī)生成KEY的模式，對用戶文件ZLIB壓縮之后進(jìn)行了AES加密，有專家稱針對AES的攻擊是異常復(fù)雜的，使用現(xiàn)有技術(shù)不可能輕易做到，事實(shí)上要想完全破解AES，花費(fèi)的時(shí)間要以數(shù)十億年計(jì)。

正因?yàn)檫@些被惡意加密的文件，不少企業(yè)甚至個人都不得不與病毒作者進(jìn)行交易。有的甚至因?yàn)闊o法支付贖金而導(dǎo)致了文件的無法恢復(fù)，給企業(yè)與個人帶來了巨大的損失。

除了CTB-Locker這個敲詐者病毒外，還有另一種比較溫柔一些的VirLock，同樣為敲詐類病毒，主要通過偽裝成EXE文件迷惑用戶，病毒會感染DOC、XLS、PDF、PPT、PNG、GIF、BMP、PSD、JPG、MP3、MPG、RAR、ZIP文件，將其變成EXE文件，被感染文件比原始文件擴(kuò)大500kB左右，并且原文件的版本信息會丟失。用戶運(yùn)行被感染文件后就會中招，硬盤中的文件會被鎖定，并彈出提示框，提示用戶付費(fèi)(0.71 BTC，約合人民幣1000元)恢復(fù)被感染文件，黑客以此向用戶實(shí)施敲詐。不過被VirLock感染的文件已經(jīng)可以被某些殺毒軟件推出的專殺工具所恢復(fù)。

老生常談的基本防病毒措施

既然還沒有能夠破解它的方法，那么我們就只能在防范上邊想想辦法了。接下來我們一起來探討一下如何防范這類病毒吧。

防范措施一郵件附件很危險(xiǎn)

目前，敲詐者病毒主要通過電子郵件來進(jìn)行傳播，那么防范的第一要素就是不要輕易的打開陌生人發(fā)來的郵件附件及郵件里的鏈接，當(dāng)然就算熟悉的人給你發(fā)來的郵件，如果沒有特別的說明，也不要輕易打開。要知道，不僅僅是敲詐者病毒會通過電子郵件來傳播，還有N多的病毒木馬也會通過它來傳播，并且利用感染者的郵箱來發(fā)送病毒郵件到用戶的聯(lián)系人中。

而因?yàn)闉g覽網(wǎng)頁而讓系統(tǒng)感染上病毒的情況也不少見，這是因?yàn)橛脩魹g覽了一個被掛上了病毒木馬的網(wǎng)頁，而相關(guān)的病毒木馬根據(jù)漏洞而入侵用戶的電腦。這也就是上邊所說的不要輕易的點(diǎn)擊電子郵件里邊的鏈接的原因。除了不要隨便瀏覽未知網(wǎng)站外，最重要防范措施就是為你的系統(tǒng)打好補(bǔ)?。╓indows Update）和使用新版的瀏覽器。

移動存儲器也是一個重要的病毒木馬傳播途徑，關(guān)閉系統(tǒng)的自動播放功能，可以幫助你防范病毒木馬通過移動存儲器的自動播放功能而感染你的操作系統(tǒng)。

具體步驟：運(yùn)行（win+r鍵）→gpedit.msc→計(jì)算機(jī)配置→管理模板→Windows組件→自動播放策略→關(guān)閉自動播放→已啟用→全部驅(qū)動器→確定。

防范措施二擴(kuò)展名稱仔細(xì)辨別

千萬不要以貌取人，到了電腦上就是不要以文件圖標(biāo)來辨別文件類型?？戳丝次募D標(biāo)，嗯，這個是PDF文檔，那個是TXT文檔，打開肯定不會感染病毒的，放心大膽的打開了看看是什么來的。

要知道，把自己偽裝成正常的文檔是病毒木馬的基本功，把自己的圖標(biāo)偽裝成TXT文檔，偽裝成JPG圖片文檔，那對于病毒木馬的作者來說是輕而易舉的。辨別文件不能只看圖標(biāo)，還得查看它的擴(kuò)展名。前一陣子不是出現(xiàn)了淘寶店客服因?yàn)榇蜷_了客戶發(fā)來的“圖像”文件而中了木馬導(dǎo)致帳號金錢被盜的事件么。

如上邊的文件，只需要用戶顯示了它們的擴(kuò)展名，就能一眼看出它們不是普通文檔，而是可執(zhí)行文件，問題是Windows默認(rèn)不顯示文件擴(kuò)展名。常見的可執(zhí)行文件擴(kuò)展名有*.exe/*.bat/*.com，現(xiàn)在許多用戶已經(jīng)對exe這類的可執(zhí)行文件有了防范意識，所以敲詐者病毒則將自己的擴(kuò)展名定為了SCR這種原來在Windows下為屏幕保護(hù)程序的文件，可是scr與exe文件一樣，同樣可被執(zhí)行。

怎么顯示文件的擴(kuò)展名？以Windows 7為例，打開任意文件夾→菜單欄→組織→文件夾和搜索選項(xiàng)→查看→隱藏已知文件的擴(kuò)展名（去掉勾）。

防范措施三定期異地備份

硬盤有價(jià)，數(shù)據(jù)無價(jià)。和以前不同，現(xiàn)在有許多人都習(xí)慣了把重要資料保存在電腦中，方便查看與修改?？墒窃S多人卻忘記了硬盤會壞，電腦可能被盜，文檔可能被誤刪除，系統(tǒng)可能會被感染病毒，甚至到了目前的文檔可能會被敲詐類病毒加密的地步。因?yàn)檫@些原因而導(dǎo)致重要資料丟失的新聞并不鮮見，有個教授甚至因此而丟失了幾十年的科研記錄。

所以養(yǎng)成定期的文檔備份習(xí)慣是必須的事情?，F(xiàn)在有許多自動同步軟件，可以幫助你自動進(jìn)行文檔的本地及局域網(wǎng)、FTP備份。

而且還有許多的網(wǎng)盤軟件，也可以幫助你把指定的文檔定期的備份到網(wǎng)盤存儲空間去。部分網(wǎng)盤還支持多版本文件功能，更是可以幫你找回文件的舊版本。

而筆者建議的是，至少要用一個移動存儲器（如U盤、移動硬盤）來對重要資料進(jìn)行異地備份。也就是說，備份存儲器不要時(shí)刻與電腦進(jìn)行連接。只在需要備份時(shí)進(jìn)行連接。為的就是防范備份文件在系統(tǒng)中毒后也會遭到感染。

對于這個用戶備份的移動存儲器里邊的備份文件保密問題，你可以采用WindowsBit-Locker功能相對該移動存儲器進(jìn)行加密操作。具體步驟請參考筆者的另一篇文章。

防范措施四安裝一款靠譜的殺毒軟件

現(xiàn)在敲詐者病毒已經(jīng)被各個安全軟件公司所關(guān)注，當(dāng)然相應(yīng)的各個知名殺毒軟件也能夠查殺該病毒及其一些變種，所以安裝一款靠譜的殺毒軟件還是非常有必要的，還有，記得要升級所安裝的殺毒軟件病毒庫到最新版本。

只是，敲詐者病毒或許還在更新，并且會形成更多的變種以逃避殺毒軟件的查殺，所以有了殺毒軟件也不能掉以輕心。

還有需要注意的是，如果系統(tǒng)真的中了CTB-Locker，并且重要文檔被加密的話，千方不要查殺該病毒，查殺后你無法解密這些文檔，因?yàn)槟壳盀橹?，只有支付贖金來獲得文檔解密這一途徑才能解密文檔，你把病毒查殺了，也就不能支付贖金了。

而對于VirLock這種感染全盤文檔并且把全部感染的文檔都變成它的病毒文件的病毒，你要做的就是先格式化重裝系統(tǒng)，重裝系統(tǒng)后再進(jìn)行全盤的病毒查殺操作。有重要資料被感染的話，可以嘗試下載專殺工具進(jìn)行查殺及恢復(fù)操作。

重要的是，先恢復(fù)被感染的文檔再進(jìn)行病毒查殺操作。

防范措施五臨時(shí)的防范措施

由于CTB-Locker病毒目前使用的擴(kuò)展名為scr這種原來在Windows下為屏幕保護(hù)程序的文件，除了屏幕保護(hù)，鮮有其它程序會用它作為擴(kuò)展名，利用這一點(diǎn)，我們就可以用個臨時(shí)的措施來禁止scr類型的文件的執(zhí)行，來防止誤點(diǎn)CTB-Locker的scr文件。

你可以這么做：單擊“開始”→在“搜索程序和文件”框中鍵入secpol.msc→按Enter鍵→打開本地安全策略→找到應(yīng)用程序控制策略→AppLocker→右側(cè)空白區(qū)域右鍵菜單→創(chuàng)建新規(guī)則→進(jìn)入新規(guī)則向?qū)А?/p>

“權(quán)限”步驟：操作設(shè)為“拒絕”，用戶可以選擇“Everyone（全部人）”或者是指定帳戶，當(dāng)然最好是Everyone。

“條件”步驟：這里我們選擇路徑規(guī)則。

題外話：現(xiàn)在對付許多國產(chǎn)軟件的自動安裝，用這里的“發(fā)布者”的條件來做限制是最好的。也就是說，現(xiàn)在的正規(guī)的軟件的相關(guān)程序都是經(jīng)過軟件發(fā)布者簽名的，利用這個規(guī)則，就可以限制所有擁有該簽名的程序。舉個例子，如果你把騰訊的軟件簽名列入禁止名單的話，擁有該簽名的相關(guān)軟件都無法運(yùn)行，包括安裝程序。

“路徑”設(shè)置：直接在路徑中輸入“*.scr”

“例外”設(shè)置：經(jīng)過上一步設(shè)置后，所有擴(kuò)展名為scr的程序都將無法運(yùn)行包括Windows屏幕保護(hù)程序，如果你需要用到屏幕保護(hù)程序，那么可在這里將其添加成例外程序。

“名稱”設(shè)置：最后一步就是設(shè)置規(guī)則名稱，你可以幫這條規(guī)則起個易于識別的名稱。

如果你是當(dāng)前創(chuàng)建的是第一條規(guī)則，那么在完成后會有個默認(rèn)規(guī)則創(chuàng)建提示，需點(diǎn)擊“是”，允許創(chuàng)建默認(rèn)規(guī)則，以免你設(shè)置的規(guī)則使得系統(tǒng)文件程序遭到限制。

設(shè)置完成后，你可以將任意exe文件，最好是安裝包更改后綴名為scr，來進(jìn)行測試scr文件是否被正常攔截。

編者注：如果設(shè)置AppLocker規(guī)則無效，請單擊“開始”→在“搜索程序和文件”框中鍵入services.msc→按Enter鍵→打開“服務(wù)”，找到找到Application Identity項(xiàng)，將其啟動類型設(shè)為“自動”，然后按“啟動”，就可讓規(guī)則生效。

殺毒軟件在關(guān)鍵的時(shí)候能幫上你大忙，你可別掉以輕心。

猜你喜歡

木馬備份文檔

“備份”25年：鄧清明圓夢

戀愛婚姻家庭(2023年1期)2023-02-15 13:02:38

小木馬

娃娃樂園·綜合智能(2021年11期)2021-12-06 05:41:46

騎木馬

科普童話·學(xué)霸日記(2021年6期)2021-09-05 00:47:27

有人一聲不吭向你扔了個文檔

中國新聞周刊(2021年26期)2021-07-27 04:02:12

小木馬

讀友·少年文學(xué)(清雅版)(2019年6期)2019-10-15 08:05:18

旋轉(zhuǎn)木馬

創(chuàng)新作文(小學(xué)版)(2018年34期)2018-05-23 00:43:20

基于RI碼計(jì)算的Word復(fù)制文檔鑒別

信息安全研究(2016年4期)2016-12-01 06:06:54

Persistence of the reproductive toxicity of chlorpiryphos-ethyl in male Wistar rat

Asian Pacific Journal of Reproduction(2015年1期)2015-12-22 12:09:35

淺析數(shù)據(jù)的備份策略

科技視界(2015年6期)2015-08-15 00:54:11

出版原圖數(shù)據(jù)庫遷移與備份恢復(fù)

測繪科學(xué)與工程(2014年6期)2014-02-27 07:06:23

計(jì)算機(jī)與網(wǎng)絡(luò)2015年12期

計(jì)算機(jī)與網(wǎng)絡(luò)的其它文章

網(wǎng)絡(luò)環(huán)境下創(chuàng)建藏漢雙語教育系統(tǒng)

基于龍芯2F的U-Boot固件移植與顯卡優(yōu)化

淺談基于物聯(lián)網(wǎng)的智能電梯群控系統(tǒng)

基于商業(yè)網(wǎng)絡(luò)高清公共安全監(jiān)管系統(tǒng)

Windows系統(tǒng)下強(qiáng)化容錯拷貝命令的實(shí)現(xiàn)

DDoS攻擊強(qiáng)勢來襲企業(yè)網(wǎng)絡(luò)安全如何保護(hù)