談談防病毒的基本功

齊建軍

談談防病毒的基本功

齊建軍

現在有一種名叫敲詐者類的病毒，操作系統(tǒng)中如果中了該病毒的話，就會導致硬盤里的所有文檔、圖片文件及壓縮包等等的文件遭到病毒的高強度加密，如果你想要取回這些文檔，目前只有一個辦法，那就是交贖金。

敲詐者類病毒的危害

受害者需要在96小時內支付指定比特幣贖金，否則文件將永久無法打開?？墒窃趪鴥染退阒姓姓呦胍褂帽忍貛艁碇Ц囤H金，也會遇到一系列的困難。病毒作者正是利用了比特幣的匿名性來逃避警方的追查。

文件被加密了不會解密么？有網友問到，該病毒可不是那種采用虛假隱藏目錄來“加密”文件的病毒，而是采用隨機生成KEY的模式，對用戶文件ZLIB壓縮之后進行了AES加密，有專家稱針對AES的攻擊是異常復雜的，使用現有技術不可能輕易做到，事實上要想完全破解AES，花費的時間要以數十億年計。

正因為這些被惡意加密的文件，不少企業(yè)甚至個人都不得不與病毒作者進行交易。有的甚至因為無法支付贖金而導致了文件的無法恢復，給企業(yè)與個人帶來了巨大的損失。

除了CTB-Locker這個敲詐者病毒外，還有另一種比較溫柔一些的VirLock，同樣為敲詐類病毒，主要通過偽裝成EXE文件迷惑用戶，病毒會感染DOC、XLS、PDF、PPT、PNG、GIF、BMP、PSD、JPG、MP3、MPG、RAR、ZIP文件，將其變成EXE文件，被感染文件比原始文件擴大500kB左右，并且原文件的版本信息會丟失。用戶運行被感染文件后就會中招，硬盤中的文件會被鎖定，并彈出提示框，提示用戶付費(0.71 BTC，約合人民幣1000元)恢復被感染文件，黑客以此向用戶實施敲詐。不過被VirLock感染的文件已經可以被某些殺毒軟件推出的專殺工具所恢復。

老生常談的基本防病毒措施

既然還沒有能夠破解它的方法，那么我們就只能在防范上邊想想辦法了。接下來我們一起來探討一下如何防范這類病毒吧。

防范措施一郵件附件很危險

目前，敲詐者病毒主要通過電子郵件來進行傳播，那么防范的第一要素就是不要輕易的打開陌生人發(fā)來的郵件附件及郵件里的鏈接，當然就算熟悉的人給你發(fā)來的郵件，如果沒有特別的說明，也不要輕易打開。要知道，不僅僅是敲詐者病毒會通過電子郵件來傳播，還有N多的病毒木馬也會通過它來傳播，并且利用感染者的郵箱來發(fā)送病毒郵件到用戶的聯系人中。

而因為瀏覽網頁而讓系統(tǒng)感染上病毒的情況也不少見，這是因為用戶瀏覽了一個被掛上了病毒木馬的網頁，而相關的病毒木馬根據漏洞而入侵用戶的電腦。這也就是上邊所說的不要輕易的點擊電子郵件里邊的鏈接的原因。除了不要隨便瀏覽未知網站外，最重要防范措施就是為你的系統(tǒng)打好補?。╓indows Update）和使用新版的瀏覽器。

移動存儲器也是一個重要的病毒木馬傳播途徑，關閉系統(tǒng)的自動播放功能，可以幫助你防范病毒木馬通過移動存儲器的自動播放功能而感染你的操作系統(tǒng)。

具體步驟：運行（win+r鍵）→gpedit.msc→計算機配置→管理模板→Windows組件→自動播放策略→關閉自動播放→已啟用→全部驅動器→確定。

防范措施二擴展名稱仔細辨別

千萬不要以貌取人，到了電腦上就是不要以文件圖標來辨別文件類型?？戳丝次募D標，嗯，這個是PDF文檔，那個是TXT文檔，打開肯定不會感染病毒的，放心大膽的打開了看看是什么來的。

要知道，把自己偽裝成正常的文檔是病毒木馬的基本功，把自己的圖標偽裝成TXT文檔，偽裝成JPG圖片文檔，那對于病毒木馬的作者來說是輕而易舉的。辨別文件不能只看圖標，還得查看它的擴展名。前一陣子不是出現了淘寶店客服因為打開了客戶發(fā)來的“圖像”文件而中了木馬導致帳號金錢被盜的事件么。

如上邊的文件，只需要用戶顯示了它們的擴展名，就能一眼看出它們不是普通文檔，而是可執(zhí)行文件，問題是Windows默認不顯示文件擴展名。常見的可執(zhí)行文件擴展名有*.exe/*.bat/*.com，現在許多用戶已經對exe這類的可執(zhí)行文件有了防范意識，所以敲詐者病毒則將自己的擴展名定為了SCR這種原來在Windows下為屏幕保護程序的文件，可是scr與exe文件一樣，同樣可被執(zhí)行。

怎么顯示文件的擴展名？以Windows 7為例，打開任意文件夾→菜單欄→組織→文件夾和搜索選項→查看→隱藏已知文件的擴展名（去掉勾）。

防范措施三定期異地備份

硬盤有價，數據無價。和以前不同，現在有許多人都習慣了把重要資料保存在電腦中，方便查看與修改?？墒窃S多人卻忘記了硬盤會壞，電腦可能被盜，文檔可能被誤刪除，系統(tǒng)可能會被感染病毒，甚至到了目前的文檔可能會被敲詐類病毒加密的地步。因為這些原因而導致重要資料丟失的新聞并不鮮見，有個教授甚至因此而丟失了幾十年的科研記錄。

所以養(yǎng)成定期的文檔備份習慣是必須的事情。現在有許多自動同步軟件，可以幫助你自動進行文檔的本地及局域網、FTP備份。

而且還有許多的網盤軟件，也可以幫助你把指定的文檔定期的備份到網盤存儲空間去。部分網盤還支持多版本文件功能，更是可以幫你找回文件的舊版本。

而筆者建議的是，至少要用一個移動存儲器（如U盤、移動硬盤）來對重要資料進行異地備份。也就是說，備份存儲器不要時刻與電腦進行連接。只在需要備份時進行連接。為的就是防范備份文件在系統(tǒng)中毒后也會遭到感染。

對于這個用戶備份的移動存儲器里邊的備份文件保密問題，你可以采用WindowsBit-Locker功能相對該移動存儲器進行加密操作。具體步驟請參考筆者的另一篇文章。

防范措施四安裝一款靠譜的殺毒軟件

現在敲詐者病毒已經被各個安全軟件公司所關注，當然相應的各個知名殺毒軟件也能夠查殺該病毒及其一些變種，所以安裝一款靠譜的殺毒軟件還是非常有必要的，還有，記得要升級所安裝的殺毒軟件病毒庫到最新版本。

只是，敲詐者病毒或許還在更新，并且會形成更多的變種以逃避殺毒軟件的查殺，所以有了殺毒軟件也不能掉以輕心。

還有需要注意的是，如果系統(tǒng)真的中了CTB-Locker，并且重要文檔被加密的話，千方不要查殺該病毒，查殺后你無法解密這些文檔，因為目前為止，只有支付贖金來獲得文檔解密這一途徑才能解密文檔，你把病毒查殺了，也就不能支付贖金了。

而對于VirLock這種感染全盤文檔并且把全部感染的文檔都變成它的病毒文件的病毒，你要做的就是先格式化重裝系統(tǒng)，重裝系統(tǒng)后再進行全盤的病毒查殺操作。有重要資料被感染的話，可以嘗試下載專殺工具進行查殺及恢復操作。

重要的是，先恢復被感染的文檔再進行病毒查殺操作。

防范措施五臨時的防范措施

由于CTB-Locker病毒目前使用的擴展名為scr這種原來在Windows下為屏幕保護程序的文件，除了屏幕保護，鮮有其它程序會用它作為擴展名，利用這一點，我們就可以用個臨時的措施來禁止scr類型的文件的執(zhí)行，來防止誤點CTB-Locker的scr文件。

你可以這么做：單擊“開始”→在“搜索程序和文件”框中鍵入secpol.msc→按Enter鍵→打開本地安全策略→找到應用程序控制策略→AppLocker→右側空白區(qū)域右鍵菜單→創(chuàng)建新規(guī)則→進入新規(guī)則向導。

“權限”步驟：操作設為“拒絕”，用戶可以選擇“Everyone（全部人）”或者是指定帳戶，當然最好是Everyone。

“條件”步驟：這里我們選擇路徑規(guī)則。

題外話：現在對付許多國產軟件的自動安裝，用這里的“發(fā)布者”的條件來做限制是最好的。也就是說，現在的正規(guī)的軟件的相關程序都是經過軟件發(fā)布者簽名的，利用這個規(guī)則，就可以限制所有擁有該簽名的程序。舉個例子，如果你把騰訊的軟件簽名列入禁止名單的話，擁有該簽名的相關軟件都無法運行，包括安裝程序。

“路徑”設置：直接在路徑中輸入“*.scr”

“例外”設置：經過上一步設置后，所有擴展名為scr的程序都將無法運行包括Windows屏幕保護程序，如果你需要用到屏幕保護程序，那么可在這里將其添加成例外程序。

“名稱”設置：最后一步就是設置規(guī)則名稱，你可以幫這條規(guī)則起個易于識別的名稱。

如果你是當前創(chuàng)建的是第一條規(guī)則，那么在完成后會有個默認規(guī)則創(chuàng)建提示，需點擊“是”，允許創(chuàng)建默認規(guī)則，以免你設置的規(guī)則使得系統(tǒng)文件程序遭到限制。

設置完成后，你可以將任意exe文件，最好是安裝包更改后綴名為scr，來進行測試scr文件是否被正常攔截。

編者注：如果設置AppLocker規(guī)則無效，請單擊“開始”→在“搜索程序和文件”框中鍵入services.msc→按Enter鍵→打開“服務”，找到找到Application Identity項，將其啟動類型設為“自動”，然后按“啟動”，就可讓規(guī)則生效。

殺毒軟件在關鍵的時候能幫上你大忙，你可別掉以輕心。