阿里云pcdn_勒索病毒和熊猫烧香对比分析，如何防止下一个勒索病毒？

最近，我突然被勒索软件淹没了，这让我想起了很久以前的熊猫燃烧病毒。经过分析后，发现两者有很多共同点。

勒索软件中毒后的场景

熊猫燃烧香气和毒药

传输方法的比较：

它们首先通过传统方法（例如电子邮件或网页）传输到LAN，然后病毒通过文件共享端口以快速在LAN内传播感染。不同之处在于，勒索软件利用了NSA称为（永恒的兰花）发现的漏洞，该漏洞可以通过端口139/445远程登录到主机并获得系统服务权限。 Panda 一直试图通过文件共享端口登录以登录到。

目标损害的比较：

勒索软件加密文档和图纸，不允许正常使用它们。勒索金钱后，它提供了一个密码来解密它。用扩展EXE，PIF，COM，SRC燃烧病毒感染的文件，将自己附加到文件的头部，并使用扩展HTML，HTML，HTML，ASP，PHP，JSP，JSP，ASPX添加一个URL。用户打开文件后，IE将不断单击背景中的书面URL，以实现增加点击次数的目的。后来的变体也可以感染文档。

破坏准备比较：

成功入侵主机后，您必须首先获得系统服务器权限，安装服务，修改注册表并让其程序自动启动。然后通过病毒程序破坏主机文件。

勒索软件：

安装 .0，然后将损坏的EXE程序复制到C：\ and C：\\目录（所有安全的人都知道这两个目录的作用，因此我不会在此处解释它们），然后通过注册表添加它们以完成自动启动。

熊猫烧香：

成功入侵主机后，首先将文件复制到c：\\\\。exe，然后通过添加注册表来完成病毒自我启动。

该程序已自动启动并具有系统服务权限（系统服务权限高于高于），因此，它是修改某些文件并加密任何文档的一小块。

从上面的分析中，两者都有很大的共同点，这并不难。它们通过电子邮件和其他方式扩展长距离（公共网络上很少有人会在防火墙上打开港口139/445）。输入LAN后，他们将通过操作系统漏洞从点到地面上的扩展，侵占LAN中的主机，并侵占主机。相同的方法将首先安装服务，设置自己的自动启动，然后执行破坏活动。

关于如何防止这种类型的病毒，首先防止其从传输路径中。主要的电子邮件服务器，网站等应进行反病毒检查，但效果是有限的。原因很简单，很难区分普通的电子邮件和异常电子邮件。这样，病毒可能会进入LAN。

其次，通过操作系统补丁或诸如APT，软件等风险检测系统的部署或帐户安全性的部署可以降低入侵风险。请注意，只能减少这一点，并且不能消除。原因很简单。系统中有许多漏洞，有些是公开的，有些不是公开的。有些甚至不公开。操作系统制造商甚至都不知道一些。如何修补它。使用病毒签名代码的病毒数据库来预防病毒。可以防御该病毒，那么如果使用下一个新病毒变体，该怎么办？

其次，您只能使用主动防御软件来实现最终阻力。主动防御软件，复制系统目录文件并将行为添加到关键注册表中，将被视为高风险行为。通常，在发现这种行为后，将提示用户选择是继续还是拒绝。这次，360，金斯夫特，巴特勒和其他人声称拥有积极的辩护和保安人员被绕开了，这令人震惊。但是，这不能完全归咎于这些制造商。毕竟，必须牺牲一些安全性，以方便使用。安全性和便利性是矛盾的，很难实现这两者。

到目前为止，我无法提出一个解决方案，以确保操作系统的安全性而无需牺牲便利性。最好给那些防病毒制造商留下这样的脑力耗费，所以我不能偷别人的工作。但是，作为专业的国内数据安全和反增殖制造商，从数据使用安全性的角度开发了云专用钥匙/+/三头狗，可以有效地保护服务器/智能仪器上的数据免受兰斯软件和熊猫燃烧香的病毒，这使人们微笑。似乎与个人PC上的安全保证的复杂性相比，业务应用程序服务器（例如文件共享服务器，ERP，OA和PDM）的安全性要容易得多。

此外，为了避免误解，应注意的是，云私钥/+/三头狗的最初意图是严格控制在服务器/智能仪器上使用业务数据的使用，独立于操作系统的用户权利，以防止未经授权的数据使用，尤其是防止未经许可的人员输入和被后代偷走。例如，如果您租用阿里巴巴云，您会担心阿里巴巴会窥视数据，并且将放置在服务器室中的数据将被复制和复制；或者在服务器/仪器中出售的软件课程库文件是由用户破裂和传播的。没有防病毒功能。这次，它可以抵抗勒索软件，这是完全无意的。因此，所有进行入侵检测和防病毒预防的安全制造商都不需要担心被抢劫。我们不是竞争对手，哈。

2017年5月14日

- - - - - - - - - - - - - - - - - - - 多于 - - - - - - - - - - - - -