聊下最近出的一些wannacry勒索病毒防御工具

1. 瑞星之剑.

只能怪自己消息太过闭塞, 这工具出了两三天了, 好像瑞星还在大肆宣传其防御效果。于是好奇下载下来分析下。界面如下：

就是一个简单的EXE文件, 运行会释放一个dll和两个驱动文件.然后将驱动文件拖入IDA分析. 实现如下：

使用minifilter过滤文件io操作.IRP_MJ_CRATE，IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION. 当有进程试图去写入 或者重命名 瑞星事先在指定目录释放的一些陷阱文件(jpg txt doc)则就会弹窗提示发现敲诈者病毒。

也就是软件运行时会在指定的一些桌面 或者文档目录释放瑞星自己准备的文件， 当发现有进程去写入 重命名这些可疑操作时候就会提示发现敲诈者病毒.

总结：

原理就是释放陷阱文件等待病毒去操作这些文件. 但是这种防御效果甚微。即便真的发现, 系统也是有一部分文件已经感染或者加密。况且还不是所有的目录都释放陷阱文件, 所以局限性很大。比如病毒就感染特定的目录文档文件，

但是恰巧该目录下没有陷阱文件则该软件就监控不到病毒。 个人感觉 这个工具只对这一个病毒有一点点用, 但是远没有他们宣传的那么牛B, 太过局限 随便出个变种就检测不出来 防御思想也落后。

 

2. 360 和电脑管家： 这两家的防御工具基本就是文件被删除或者被修改的时候保存一下 前一时刻的副本. 以供用户发现异常找回文件用.个人认为这种工具虽然没有发现病毒的能力 但是确实在一方面减少了用户的损失.

其实对于敲诈者病毒分防御, 完全没必要局限在病毒的操作手段, 而要跳出这个点, 在更高的纬度去思考如何防御. 时下流行的防御方式基本就是放置陷阱文件, 但是这种方式过于滞后, 太容易被破。