一阵子没见到灾情,
最近又有点死灰复燃的感觉,所以想丢一点撇步供参考。
1. Email 附档尽量不要开
除了可执行档,尤其 js、vbs、shs、bat 这类指令码变种、加密非常多样化,
防毒软件常常侦测不到。不要以为 js 只是纯文字就认为安全,
js 这种东西点两下打开的不是记事本不是浏览器,是从背景跑 wscript 自动
从网站下载恶意程式执行,看都看不到,防不慎防。
* 再补一个,Office 系列档案有宏的也很危险,不要傻傻的就去点“启用宏”。
2. 你需要漏洞防护
“我明明什么都没点啊,逛逛网站怎么还是中标!”
因为你的 Windows 有洞、IE 有洞、Flash 有洞、Java 有洞…通通都是洞,
它就是有办法做到让你一边上网一边自动下载执行恶意程式。
微软免费提供的 EMET 能替一些常用的 Windows 程式加点额外保护。
即使如此也不要忘记随时保持软件最新版本或者干脆关掉千疮百孔的 Flash。
有些防毒软件也提供这种功能,那就不用另备了不然可能会打架自爆。
Malwarebytes 也提供免费的 Anti-Exploit,选一个装就好。
运气好时它们能阻止漏洞被利用,所以恶意程式不会被执行,
但是它们不能“阻止勒索软件”,你要是手贱硬要执行它们是不会挡的。
比如说单纯一个木马连结,出现问你要下载还是执行这种不会挡。
不怕麻烦的再找个沙盒之类的会更安全 (…但就是麻烦)
3. 我用 Mac OS 无敌对不对?
坏消息是: Mac OS 的勒索软件已经出炉了。
最近有个叫 KeRanger 的勒索软件混入 Mac OS BT 客户端 Transmission。
http://gigazine.net/news/20160307-first-os-x-ransomware/
4. 我有装防火墙耶,为什么还是中标
防火墙有在设规则吗?还是全自动好方便?或是跳什么通通允许?
我是觉得懒人型防火墙根本没有用 (不过有些有配合档案信誉的就好多了)
像 Windows 防火墙默认只阻止连入连线,程式爱怎么钻他是完全不会挡的。
再举一个我购入的 G DATA 防火墙默认的 Autopilot 像屎一样,
美意是自动判断,但结果就是什么都自动允许,
我连拿木马、拿广告来测通通都是自动允许,到底请你来做什么?
自建规则乱设也不行,我之前为了玩游戏就设成允许 Domain Service,
结果新增的规则是 svchost.exe 通通允许。偏偏勒索软件最爱 svchost.exe,
注入后随便你下载、开后门、跑加密等坏事,它就是这么神奇。
有些看来像是私人作品的勒索软件根本连连线都不连线,
也不拐弯抹角行为一堆搞注入搞开机启动,而是直接就狂读狂写,
跑加密直接霸气留 Email 要你直接来找,防火墙不见得有用。
5. 我有防毒,小红伞喔,是不是很安全呢
小红伞的行为防护是0是0是0。
很重要所以要说三遍。你就算用付费版也还是0,扫不到就是中奖。
论执行后的防御我觉得小红伞搞不好还比 Windows Defender 差。
当然不是说有什么主动防御、行为防护、HIPS…blahblah 就是我无敌我高枕无忧,
但是勒索软件的行为总有固定模式 (虽然一直在变),
防毒软件厂商也一直在更新规则希望能挡下来,多一层保护总是比较好。
像卡巴斯基好不只是好在他的扫描和他的云端档案信誉,
最重要的还有他的系统监控和应用程控,而这也是一些免费软件欠缺的。
工商连结
漏洞防护:
Microsoft EMET
https://support.microsoft.com/zh-tw/kb/2458544
Malwarebytes Anti-Exploit
https://www.malwarebytes.org/antiexploit/
注意 不要同时装多套,简单的 EMET 设定附在文章后面了
用 EMET 的一定要设一下,不然默认的保护项目不多
自称可以防勒索的软件:
Hitman.Pro Alert (这款是公认的强大,也包括漏洞防护了,但是要付费)
http://www.surfright.nl/en/alert
Malwarebytes Anti-Ransomware (BETA测试版,小心使用)
http://tinyurl.com/jh59xap
BitDefender AntiCryptoLocker
http://bit.ly/Cryptolocker
其实都是老调重弹。
另外我自己没有中标经验,也没有精实的电脑知识,
有什么不对的请尽量批评补充。