最近勒索病毒频发,大家注意防护哦

前言

前几天在 v 站 (v2ex) 水贴的时候,看到了这么一则消息:

gwRN.png

今天正好比较闲,想教教大家  如何预防以及提高自己的安全意识,就想展开这个事件和大家分享一下。以下为正题。

翻了翻贴吧内容,确实也如楼主所说,吧友们抱怨中了病毒:

gCkP.png

gfMv.png

gYAb.png

(笔者注:这是在编写时从吧前两页中随手挑的)

前段时间,笔者在其他几个资源站逛的时候,站内也出现过投毒事件(在资源里打包、篡改、注入木马,病毒), 还是投毒者主动告知的,否则大家都不知道资源被投毒过。

最近疫情宅在家,经常帮坛友搜寻资源,这些资源里,包含被病毒污染的资源包(国内外资源站都有)也不在少数。

这说明 建立在信任为基础上的资源分享 可能是只是你的 一厢情愿 ,某些小人、伪君子可能会动着歪念头在分享你的资源里加塞恶意软件,来达到获得盈利的目的。

可能大家不理解人家入侵你的计算机能获得什么,这里举几个例子:

  • 重要文件加密,敲诈勒索。 想象一下你幸幸苦苦存在 NAS 的小姐姐们,自己的老婆、自己重要的学习笔记、面试考经、手头上的项目给黑客咔擦了,要求你限时支付虚拟币才能解锁,晚了就撕票(销毁你的所有资料),你该怎么办。
    • 2021 年 5 月 10 日:美国最大燃油管道遭网络攻击 多州进入紧急状态
  • 窃取账号、私密资料。我们常说的号被盗了的其中一个原因,恶意软件制作者会扫描你的本地信息从中窃取登录信息、私人图片等。
    • 被盗的账号被用于转发 灰黑产 广告
    • 私人写真被标价卖出
  • 作为僵尸机。这个对于你来说应该是伤害最小的一种,恶意软件制作者会用你的机器作为跳板机(代理,通过你的机器攻击别人的机器)、网络攻击(DDOS、CC);

实际用途远远不止这些,但你可以 了解到 你的计算机本身、计算机数据对于恶意软件制作者来说是一笔 不菲  的财富。

如何预防?

扯完危害性后,咱们就该扯怎么防治、预防了。方便懒癌患者,这里把要点丢在最前:

  • 打开系统的 自动更新,及时安装及重启系统;
  • 尽量  不使用  来源不明 的软件(比如说从某某下载站下载),尽量 不使用 破解软件
    • 我知道大部分人不可能不用破解软件的,就拿最常用专业软件 PS 来说的吧,一年要几百(看优惠)、一千块不等,因此下文会大篇幅介绍这些
  • 选用 全功能杀毒软件,不选所谓大神搞出来的轻量杀软。
    • 360 用户请安装全套,并开启所有引擎,打开云防护;
      • 咱不对 360 的杀毒能力做任何评价,快十年左右没用了
    • Windows Defender 下文有讲如何开启更强的防护
  • 不要使用 优化版、精简版、Ghost 版 系统
    • 这类系统通常有后门,会植入广告插件,可能有信息窃取木马
    • 去电脑店装机的话,要求他使用原版(MSDN、官网)镜像装机
  • 使用 Microsoft 正在维护的 操作系统
    • 如果没必要的话,就不用 WIN7、XP 了吧

一、为什么要开启系统的自动更新?

我们逛很多社区的时候,常常会看到别人劝告别人别人:不要开启系统的自动更新。观点大概如下:

  • 增加磁盘占用
  • 更新过于频繁
  • 自己挑时间安装,安装时造成系统卡顿、CPU占用过高
  • 经常自己用着用着就关机重启了
  • 别打开自动更新,会变得不幸 (x
    • 自己更新着就炸了

这个观点是十分错误的,理由如下:

  1. 微软是 Windows 系统的制作公司,也是市面上资产最高的几家公司之一,聘的大牛比那些民间的所谓专家更靠谱。
  • Windows 是世界上最流行,安装率最高的操作系统,每天,每月都有等级不一的安全漏洞被报告出来。微软会定期推送安全质量更新,其中包含:恶意软件删除工具、安全漏洞修补,提高系统的稳健性。
  • Windows 有大量的企业客户(服务器系统、企业设备装机、嵌入式设备),他应对安全问题的经验是比较丰富的(出事了要赔钱不是
  1. 补丁占用空间是因为微软采用了类似事务的操作,可以轻松回档
  • 可以通过 DISM++ 这个小工具,轻松删除备档

3. 更新强制安装只可能发生在你经常忽略、推迟系统更新后,现在的 Windows 会在你的非活跃时间(比如说半夜?)自动安装补丁、重启系统。

  • 在空闲时及时安装更新,自己重启系统
  • 在你的提前授权下,在空闲时间系统会自动重启以完成安装。此时重启前有通知,你可以推迟,只有一直推迟才会没有推迟选项
    • 通常只在夜间(你的非活跃时间)系统才会安排此操作
  1. 更新炸系统是存在的,但这只存在于 Windows 10 早期(2015、2016年左右)。之后的系统已经稳定,极低概率会发生更新故障。
  • Windows 11 的情况尚不清楚,但我一般不推荐身边人更新 WIN 11。按微软的尿性,操作系统至少发布一年后才足够稳定。

二、如何妥善对待不明文件、破解补丁?

在掌握 正确的 资源搜索方式后,我们已经能够规避非常多的不良内容。

但有时候,应该是大多时候,我们总会接触到不明文件,亦或者总有些软件需要破解的,该如何处理呢?

1. 查毒 —— 最简单的方式

如果文件比较小的话(小于 500M 之内,破解软件一般都比较小),个人推荐优先丢到 VirusTotal 扫描。像这种基本铁毒,基本不可能误报:

gduk.png

不管大小如何,在解压之前先对压缩包进行查杀:

gMTC.png

(如果解压软件自带这个功能的话,直接用它提供的就好了,这种方法支持带密码的压缩包)

gvKu.png

(一般情况,直接右键杀毒即可)

假设压缩软件不支持杀毒,且杀软不支持带密码的压缩包的话,可以直接解压后对文件夹进行查杀。

  • 解压后,你只要不运行程序,这个档是对你无害的
  • 杀软会实时扫描的解压(新增)的文件,如果发现有害会直接删除

2. 丢在 沙箱 中运行

一般情况下,发现病毒文件,我们只需要删除再找即可。可有些时候,这份资源只找到了一份,你太想玩这款游戏了,而你又不会修复病毒程序(是的,一般 Unity、RPG Maker 系列只污染了入口程序的情况下,是可以简单替换修补的),该怎么办呢?

笔者更推荐大部分程序都丢沙箱环境运行,腾讯、阿里的软件整个系统服务级别的监控程序,太恶心了。

① Windows Container(Windows 沙盒)

优点:系统自带、开启方便、使用容易、安全性高(基于虚拟机方案 )

缺点:关闭销毁数据,如果需要间断玩游戏的话需要手动备份存档;性能相比实机差一些

g5o3.png

(在 Windows 容器中运行暑假回忆)

② Sandboxie Plus

优点:性能优异;使用方便

缺点:上手难度较高;配置繁琐;数据不隔离(支持数据隔离的容器需要付费)

gimy.png

(使用 Sandboxie Plus 运行哥布林的巢穴)

③ 虚拟机类(VMWare、HyperV、VirtualBox)

优点:安全性非常高;数据持久化

缺点:上手难度高;性能较差(一般不支持 GPU 加速);刷新系统比较麻烦

gJ2w.png

(在 HyperV 虚拟机中运行纸巾盒系列游戏)

有关各沙盒使用方面的技巧,可以自行通过搜索引擎了解,这里就不作展开了~ 如果大家有需要,可以评论里留言,我来补几个教程链接。

三、挑选什么杀毒软件比较好?

一般来说, 小白用户用 360(卫士+杀毒) 就好了,虽然 360 的防火墙比较弱鸡,但开启云引擎的情况下,拦截常见的木马病毒,勒索病毒应该是绰绰有余的。

以下部分写给对 360 不满意,想要了解怎么挑选一个杀毒能力的杀软的朋友们。

通过国外评测杀软的站点(组织),可以简单清晰得了解杀软的能力。比如: AV-TEST, AV-C, VB100。知名而又得分高的杀软有很多,比如说 Windows Defender,卡巴斯基,Avast,Nod32,诺顿。实际上呢,其中有很多水土不服的(国内大小流氓嘎嘎乱杀),适合国内使用的一般也就 Windows Defender,卡巴斯基,Avast 了。

这里点评批评一下火绒,它不参加杀软评测,且杀毒能力很弱鸡。如果您正使用火绒,可以考虑搭配一款杀软或者卸载后更换软件。搭配教程可参考卡饭的大佬推荐。

① Windows Defender 篇(懒癌白嫖党推荐)

一般来说,Windows Defender 是默认不开启 云防护、高级保护功能 的,这就是为什么评测站的结果与我们的常识(WD 不是很菜的嘛)相违背。

打开云防护 通常需要修改组策略,使用终端修改。这里安利个简单易用的三方 UI,可以直接开启高级保护模式: Defender UI。

gmRt.png

安装后,直接选 推荐配置 就足够了。

gZL6.png

gnMH.png

可以看到网络保护,推荐开启的 ASR 规则 都帮你打开了。

哦对了,如果你曾经抱怨过 WD 经常在 后台时疯狂 吃系统资源扫描,那你可以打开这个选项,可以有效降低 CPU 占用。

gqk9.png

添加 排除选项,  进入 隔离区 也可以非常方便。

gtac.pnggSTR.png

如果破解补丁,或者破解软件(Cheat Engine、风灵月影)被杀软报毒,报风险软件(not-a-virus, adware等),可以丢 VirusTotal 看一下具体情况。

比如说 Cheat Engine 在 VirusTotal 的 结果,是这样的:

grSF.png

在结合行为记录,社区评价后,我们可以得知: 这软件虽然没埋毒,但是绑了不易察觉的下载器(我这份样本是从 Github 拿的),也确实不是好鸟。

在了解风险后,从隔离区还原(如果有),添加到 排除列表,把下载软件的勾勾点掉,完整安装即可。

此外,如果您的系统配置还不错,建议  开启 Windows 安全设置中的 内核隔离 和 内存完整性 功能。

② 卡巴斯基、Avast

免费版本都提供了完整的病毒查杀、云保护能力,但没有提供防火墙功能。如果对于防火墙有需求,可以搭配其他软件使用。

付费版本,比如说卡巴斯基的 KIS(卡巴斯基网络安全, Kaspersky Internet Security)会提供完整的防火墙功能,和权限控制能力。

缺点就是控制的力度比较细,比如说 Steam++ 的 Hosts 代理功能,需要你手动进软件控制管理放行对 Hosts 的修改能力,或者直接加入信任名单。

g72B.png

这两款杀软做的 UI 引导还是不错的,基本只需要无脑按提示开启就足够了 (不得不说 Windows Defender 做的真烂啊,改个配置还需要三方 UI,或者组策略改配置

好了,以上就是本次分享的全部内容了。如果内容有纰漏,敬请批评指正。


最后修改于 2022-12-05

Waline.init({ el: '#waline', path: location.pathname, serverURL: 'https://comments.a632079.me', comment: true, emoji: [ 'https://unpkg.com/@waline/emojis@1.1.0/alus', 'https://unpkg.com/@waline/emojis@1.1.0/weibo', 'https://unpkg.com/@waline/emojis@1.1.0/tieba', 'https://unpkg.com/@waline/emojis@1.1.0/bilibili', ], dark: 'html.night', requiredMeta: ['nick','mail'], imageUploader: false, });