談?wù)劮啦《镜幕竟?/h1>

2015-06-21 15:07:42齊建軍

計(jì)算機(jī)與網(wǎng)絡(luò)訂閱 2015年12期 收藏

關(guān)鍵詞：木馬備份文檔

齊建軍

談?wù)劮啦《镜幕竟?/p>

齊建軍

現(xiàn)在有一種名叫敲詐者類(lèi)的病毒，操作系統(tǒng)中如果中了該病毒的話(huà)，就會(huì)導(dǎo)致硬盤(pán)里的所有文檔、圖片文件及壓縮包等等的文件遭到病毒的高強(qiáng)度加密，如果你想要取回這些文檔，目前只有一個(gè)辦法，那就是交贖金。

敲詐者類(lèi)病毒的危害

受害者需要在96小時(shí)內(nèi)支付指定比特幣贖金，否則文件將永久無(wú)法打開(kāi)?？墒窃趪?guó)內(nèi)就算中招者想要使用比特幣來(lái)支付贖金，也會(huì)遇到一系列的困難。病毒作者正是利用了比特幣的匿名性來(lái)逃避警方的追查。

文件被加密了不會(huì)解密么？有網(wǎng)友問(wèn)到，該病毒可不是那種采用虛假隱藏目錄來(lái)“加密”文件的病毒，而是采用隨機(jī)生成KEY的模式，對(duì)用戶(hù)文件ZLIB壓縮之后進(jìn)行了AES加密，有專(zhuān)家稱(chēng)針對(duì)AES的攻擊是異常復(fù)雜的，使用現(xiàn)有技術(shù)不可能輕易做到，事實(shí)上要想完全破解AES，花費(fèi)的時(shí)間要以數(shù)十億年計(jì)。

正因?yàn)檫@些被惡意加密的文件，不少企業(yè)甚至個(gè)人都不得不與病毒作者進(jìn)行交易。有的甚至因?yàn)闊o(wú)法支付贖金而導(dǎo)致了文件的無(wú)法恢復(fù)，給企業(yè)與個(gè)人帶來(lái)了巨大的損失。

除了CTB-Locker這個(gè)敲詐者病毒外，還有另一種比較溫柔一些的VirLock，同樣為敲詐類(lèi)病毒，主要通過(guò)偽裝成EXE文件迷惑用戶(hù)，病毒會(huì)感染DOC、XLS、PDF、PPT、PNG、GIF、BMP、PSD、JPG、MP3、MPG、RAR、ZIP文件，將其變成EXE文件，被感染文件比原始文件擴(kuò)大500kB左右，并且原文件的版本信息會(huì)丟失。用戶(hù)運(yùn)行被感染文件后就會(huì)中招，硬盤(pán)中的文件會(huì)被鎖定，并彈出提示框，提示用戶(hù)付費(fèi)(0.71 BTC，約合人民幣1000元)恢復(fù)被感染文件，黑客以此向用戶(hù)實(shí)施敲詐。不過(guò)被VirLock感染的文件已經(jīng)可以被某些殺毒軟件推出的專(zhuān)殺工具所恢復(fù)。

老生常談的基本防病毒措施

既然還沒(méi)有能夠破解它的方法，那么我們就只能在防范上邊想想辦法了。接下來(lái)我們一起來(lái)探討一下如何防范這類(lèi)病毒吧。

防范措施一郵件附件很危險(xiǎn)

目前，敲詐者病毒主要通過(guò)電子郵件來(lái)進(jìn)行傳播，那么防范的第一要素就是不要輕易的打開(kāi)陌生人發(fā)來(lái)的郵件附件及郵件里的鏈接，當(dāng)然就算熟悉的人給你發(fā)來(lái)的郵件，如果沒(méi)有特別的說(shuō)明，也不要輕易打開(kāi)。要知道，不僅僅是敲詐者病毒會(huì)通過(guò)電子郵件來(lái)傳播，還有N多的病毒木馬也會(huì)通過(guò)它來(lái)傳播，并且利用感染者的郵箱來(lái)發(fā)送病毒郵件到用戶(hù)的聯(lián)系人中。

而因?yàn)闉g覽網(wǎng)頁(yè)而讓系統(tǒng)感染上病毒的情況也不少見(jiàn)，這是因?yàn)橛脩?hù)瀏覽了一個(gè)被掛上了病毒木馬的網(wǎng)頁(yè)，而相關(guān)的病毒木馬根據(jù)漏洞而入侵用戶(hù)的電腦。這也就是上邊所說(shuō)的不要輕易的點(diǎn)擊電子郵件里邊的鏈接的原因。除了不要隨便瀏覽未知網(wǎng)站外，最重要防范措施就是為你的系統(tǒng)打好補(bǔ)?。╓indows Update）和使用新版的瀏覽器。

移動(dòng)存儲(chǔ)器也是一個(gè)重要的病毒木馬傳播途徑，關(guān)閉系統(tǒng)的自動(dòng)播放功能，可以幫助你防范病毒木馬通過(guò)移動(dòng)存儲(chǔ)器的自動(dòng)播放功能而感染你的操作系統(tǒng)。

具體步驟：運(yùn)行（win+r鍵）→gpedit.msc→計(jì)算機(jī)配置→管理模板→Windows組件→自動(dòng)播放策略→關(guān)閉自動(dòng)播放→已啟用→全部驅(qū)動(dòng)器→確定。

防范措施二擴(kuò)展名稱(chēng)仔細(xì)辨別

千萬(wàn)不要以貌取人，到了電腦上就是不要以文件圖標(biāo)來(lái)辨別文件類(lèi)型?？戳丝次募D標(biāo)，嗯，這個(gè)是PDF文檔，那個(gè)是TXT文檔，打開(kāi)肯定不會(huì)感染病毒的，放心大膽的打開(kāi)了看看是什么來(lái)的。

要知道，把自己偽裝成正常的文檔是病毒木馬的基本功，把自己的圖標(biāo)偽裝成TXT文檔，偽裝成JPG圖片文檔，那對(duì)于病毒木馬的作者來(lái)說(shuō)是輕而易舉的。辨別文件不能只看圖標(biāo)，還得查看它的擴(kuò)展名。前一陣子不是出現(xiàn)了淘寶店客服因?yàn)榇蜷_(kāi)了客戶(hù)發(fā)來(lái)的“圖像”文件而中了木馬導(dǎo)致帳號(hào)金錢(qián)被盜的事件么。

如上邊的文件，只需要用戶(hù)顯示了它們的擴(kuò)展名，就能一眼看出它們不是普通文檔，而是可執(zhí)行文件，問(wèn)題是Windows默認(rèn)不顯示文件擴(kuò)展名。常見(jiàn)的可執(zhí)行文件擴(kuò)展名有*.exe/*.bat/*.com，現(xiàn)在許多用戶(hù)已經(jīng)對(duì)exe這類(lèi)的可執(zhí)行文件有了防范意識(shí)，所以敲詐者病毒則將自己的擴(kuò)展名定為了SCR這種原來(lái)在Windows下為屏幕保護(hù)程序的文件，可是scr與exe文件一樣，同樣可被執(zhí)行。

怎么顯示文件的擴(kuò)展名？以Windows 7為例，打開(kāi)任意文件夾→菜單欄→組織→文件夾和搜索選項(xiàng)→查看→隱藏已知文件的擴(kuò)展名（去掉勾）。

防范措施三定期異地備份

硬盤(pán)有價(jià)，數(shù)據(jù)無(wú)價(jià)。和以前不同，現(xiàn)在有許多人都習(xí)慣了把重要資料保存在電腦中，方便查看與修改?？墒窃S多人卻忘記了硬盤(pán)會(huì)壞，電腦可能被盜，文檔可能被誤刪除，系統(tǒng)可能會(huì)被感染病毒，甚至到了目前的文檔可能會(huì)被敲詐類(lèi)病毒加密的地步。因?yàn)檫@些原因而導(dǎo)致重要資料丟失的新聞并不鮮見(jiàn)，有個(gè)教授甚至因此而丟失了幾十年的科研記錄。

所以養(yǎng)成定期的文檔備份習(xí)慣是必須的事情?，F(xiàn)在有許多自動(dòng)同步軟件，可以幫助你自動(dòng)進(jìn)行文檔的本地及局域網(wǎng)、FTP備份。

而且還有許多的網(wǎng)盤(pán)軟件，也可以幫助你把指定的文檔定期的備份到網(wǎng)盤(pán)存儲(chǔ)空間去。部分網(wǎng)盤(pán)還支持多版本文件功能，更是可以幫你找回文件的舊版本。

而筆者建議的是，至少要用一個(gè)移動(dòng)存儲(chǔ)器（如U盤(pán)、移動(dòng)硬盤(pán)）來(lái)對(duì)重要資料進(jìn)行異地備份。也就是說(shuō)，備份存儲(chǔ)器不要時(shí)刻與電腦進(jìn)行連接。只在需要備份時(shí)進(jìn)行連接。為的就是防范備份文件在系統(tǒng)中毒后也會(huì)遭到感染。

對(duì)于這個(gè)用戶(hù)備份的移動(dòng)存儲(chǔ)器里邊的備份文件保密問(wèn)題，你可以采用WindowsBit-Locker功能相對(duì)該移動(dòng)存儲(chǔ)器進(jìn)行加密操作。具體步驟請(qǐng)參考筆者的另一篇文章。

防范措施四安裝一款靠譜的殺毒軟件

現(xiàn)在敲詐者病毒已經(jīng)被各個(gè)安全軟件公司所關(guān)注，當(dāng)然相應(yīng)的各個(gè)知名殺毒軟件也能夠查殺該病毒及其一些變種，所以安裝一款靠譜的殺毒軟件還是非常有必要的，還有，記得要升級(jí)所安裝的殺毒軟件病毒庫(kù)到最新版本。

只是，敲詐者病毒或許還在更新，并且會(huì)形成更多的變種以逃避殺毒軟件的查殺，所以有了殺毒軟件也不能掉以輕心。

還有需要注意的是，如果系統(tǒng)真的中了CTB-Locker，并且重要文檔被加密的話(huà)，千方不要查殺該病毒，查殺后你無(wú)法解密這些文檔，因?yàn)槟壳盀橹?，只有支付贖金來(lái)獲得文檔解密這一途徑才能解密文檔，你把病毒查殺了，也就不能支付贖金了。

而對(duì)于VirLock這種感染全盤(pán)文檔并且把全部感染的文檔都變成它的病毒文件的病毒，你要做的就是先格式化重裝系統(tǒng)，重裝系統(tǒng)后再進(jìn)行全盤(pán)的病毒查殺操作。有重要資料被感染的話(huà)，可以嘗試下載專(zhuān)殺工具進(jìn)行查殺及恢復(fù)操作。

重要的是，先恢復(fù)被感染的文檔再進(jìn)行病毒查殺操作。

防范措施五臨時(shí)的防范措施

由于CTB-Locker病毒目前使用的擴(kuò)展名為scr這種原來(lái)在Windows下為屏幕保護(hù)程序的文件，除了屏幕保護(hù)，鮮有其它程序會(huì)用它作為擴(kuò)展名，利用這一點(diǎn)，我們就可以用個(gè)臨時(shí)的措施來(lái)禁止scr類(lèi)型的文件的執(zhí)行，來(lái)防止誤點(diǎn)CTB-Locker的scr文件。

你可以這么做：?jiǎn)螕簟伴_(kāi)始”→在“搜索程序和文件”框中鍵入secpol.msc→按Enter鍵→打開(kāi)本地安全策略→找到應(yīng)用程序控制策略→AppLocker→右側(cè)空白區(qū)域右鍵菜單→創(chuàng)建新規(guī)則→進(jìn)入新規(guī)則向?qū)А?/p>

“權(quán)限”步驟：操作設(shè)為“拒絕”，用戶(hù)可以選擇“Everyone（全部人）”或者是指定帳戶(hù)，當(dāng)然最好是Everyone。

“條件”步驟：這里我們選擇路徑規(guī)則。

題外話(huà)：現(xiàn)在對(duì)付許多國(guó)產(chǎn)軟件的自動(dòng)安裝，用這里的“發(fā)布者”的條件來(lái)做限制是最好的。也就是說(shuō)，現(xiàn)在的正規(guī)的軟件的相關(guān)程序都是經(jīng)過(guò)軟件發(fā)布者簽名的，利用這個(gè)規(guī)則，就可以限制所有擁有該簽名的程序。舉個(gè)例子，如果你把騰訊的軟件簽名列入禁止名單的話(huà)，擁有該簽名的相關(guān)軟件都無(wú)法運(yùn)行，包括安裝程序。

“路徑”設(shè)置：直接在路徑中輸入“*.scr”

“例外”設(shè)置：經(jīng)過(guò)上一步設(shè)置后，所有擴(kuò)展名為scr的程序都將無(wú)法運(yùn)行包括Windows屏幕保護(hù)程序，如果你需要用到屏幕保護(hù)程序，那么可在這里將其添加成例外程序。

“名稱(chēng)”設(shè)置：最后一步就是設(shè)置規(guī)則名稱(chēng)，你可以幫這條規(guī)則起個(gè)易于識(shí)別的名稱(chēng)。

如果你是當(dāng)前創(chuàng)建的是第一條規(guī)則，那么在完成后會(huì)有個(gè)默認(rèn)規(guī)則創(chuàng)建提示，需點(diǎn)擊“是”，允許創(chuàng)建默認(rèn)規(guī)則，以免你設(shè)置的規(guī)則使得系統(tǒng)文件程序遭到限制。

設(shè)置完成后，你可以將任意exe文件，最好是安裝包更改后綴名為scr，來(lái)進(jìn)行測(cè)試scr文件是否被正常攔截。

編者注：如果設(shè)置AppLocker規(guī)則無(wú)效，請(qǐng)單擊“開(kāi)始”→在“搜索程序和文件”框中鍵入services.msc→按Enter鍵→打開(kāi)“服務(wù)”，找到找到Application Identity項(xiàng)，將其啟動(dòng)類(lèi)型設(shè)為“自動(dòng)”，然后按“啟動(dòng)”，就可讓規(guī)則生效。

殺毒軟件在關(guān)鍵的時(shí)候能幫上你大忙，你可別掉以輕心。

猜你喜歡

木馬備份文檔

“備份”25年：鄧清明圓夢(mèng)

戀愛(ài)婚姻家庭(2023年1期)2023-02-15 13:02:38

小木馬

娃娃樂(lè)園·綜合智能(2021年11期)2021-12-06 05:41:46

騎木馬

科普童話(huà)·學(xué)霸日記(2021年6期)2021-09-05 00:47:27

有人一聲不吭向你扔了個(gè)文檔

中國(guó)新聞周刊(2021年26期)2021-07-27 04:02:12

小木馬

讀友·少年文學(xué)(清雅版)(2019年6期)2019-10-15 08:05:18

旋轉(zhuǎn)木馬

創(chuàng)新作文(小學(xué)版)(2018年34期)2018-05-23 00:43:20

基于RI碼計(jì)算的Word復(fù)制文檔鑒別

信息安全研究(2016年4期)2016-12-01 06:06:54

Persistence of the reproductive toxicity of chlorpiryphos-ethyl in male Wistar rat

Asian Pacific Journal of Reproduction(2015年1期)2015-12-22 12:09:35

淺析數(shù)據(jù)的備份策略

科技視界(2015年6期)2015-08-15 00:54:11

出版原圖數(shù)據(jù)庫(kù)遷移與備份恢復(fù)

測(cè)繪科學(xué)與工程(2014年6期)2014-02-27 07:06:23

計(jì)算機(jī)與網(wǎng)絡(luò)2015年12期

計(jì)算機(jī)與網(wǎng)絡(luò)的其它文章

網(wǎng)絡(luò)環(huán)境下創(chuàng)建藏漢雙語(yǔ)教育系統(tǒng)

基于龍芯2F的U-Boot固件移植與顯卡優(yōu)化

淺談基于物聯(lián)網(wǎng)的智能電梯群控系統(tǒng)

基于商業(yè)網(wǎng)絡(luò)高清公共安全監(jiān)管系統(tǒng)

Windows系統(tǒng)下強(qiáng)化容錯(cuò)拷貝命令的實(shí)現(xiàn)

DDoS攻擊強(qiáng)勢(shì)來(lái)襲企業(yè)網(wǎng)絡(luò)安全如何保護(hù)