码迷,mamicode.com
首页 > 其他好文 > 详细

wannacyp勒索病毒

时间:2017-05-17 11:48:14      阅读:133      评论:0      收藏:0      [点我收藏+]

标签:使用   制作   概率   16px   磁盘   自动备份   read   为什么   云同步   

关于 5月12号开始疯传的wannacyp勒索病毒 说说自己的看法


1.此类病毒制作比较简单:说白了就是 createfile --> readfile --->writefile(加密). 但是为什么众多安全软件拦截性不是很好? 并不是他们监控不到这些病毒的行为。而是不好区分这是正常软件的行为还是恶意病毒的行为。安全软件不同于小工具产品 是否误报多也是一个比较大的量化指标。所以目前多数安全软件的防御策略即 当有进程试图操作文件(写操作和删除操作)自动备份用户的文档。以便于用户回滚。

2. 中招了 就不要想着去解密了。分析这次的病毒可以发现。其实病毒是先创建新文件 然后读取原文件并将加密数据写入新文件中 最后删除原文件。所以病毒并没有直接将原文件进行加密。

这样我们可以采用数据恢复工具进行恢复。所以中毒后不要进行过多的磁盘文件操作 直接用数据恢复工具便可大概率的挽回自己的重要文件.

3.建议使用云同步产品 将重要文档定期进行压缩上传到云服务产品中.并且云服务产品最好支持可回退到某一次同步状态的操作.

 

wannacyp勒索病毒

标签:使用   制作   概率   16px   磁盘   自动备份   read   为什么   云同步   

原文地址:http://www.cnblogs.com/flt-sec/p/6866248.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!