安全路透社
当前位置:安全路透社 > 网络转载 > 正文

【原创工具】勒索软件终结者:勒索软件,今天叔叔要教导你一些做人的道理!

防御引导区加密勒索软件演示视频

防御已知的勒索软件演示视频

防御未知的勒索软件演示视频

勒索软件终结者下载页面地址:

http://www.pinchins.cn/

哦对了,我们这里还收集所有勒索软件解密工具,以下是链接地址:

http://www.pinchins.cn/Tools.aspx

“勒索软件终结者”是我个人的业余作品,开发时间大概从15年12月到16年11月份左右,后面几个月都在写网页(都快把我写残了)。

开发这块软件的初衷是从14年勒索软件大爆发到现在,依然没有一个行之有效的解决方案,实在是令我有点看不下去了。因此呢我头悬梁,菊刺骨。卧薪尝胆,下班就往家里赶,耗尽所有节假日。终于开发出了勒索软件终结者。

哎呀你们别打我,我不装了还不行么,好吧,其实是05年底到16年末,游戏行业根本就没啥拿的出手的单机游戏作品,玩了多年盗版的我终于良心发现掏钱买了三国志13,结果发现实在是烂的令人发指,无聊没办法只好自己找点有意思的玩玩,因此就开发了勒索软件终结者。可天杀的谁能想到这次真的玩大发了,差不多把我1/3的年收入都玩进去了,唉。啥?你说文明6啊,哦文明六还行啊,可是它出的时候终结者的开发已经进入到尾声,木已成舟钱已花,这时候文明6出来还有个毛意义啊!

不过话又说回来,能坚持下来还有一个很重要的原因就是真的是很刺激。你想啊,你是抱着完全解决掉一个安全细分领域的重大疑难杂症的心情来写代码的好吗?是不是很刺激,然后有安全厂商推出解决方案时。刚开始你会很紧张,天!我的思路不会被人先用了把?然后一看对方原理,心里微微一笑,你个战5渣,这么挫的解决方案也好意思拉出来溜!你们体会下,是不是很刺激嘛。

我为什么对终结者给出解决方案这么有自信,不是因为我是它爹。而是从原理上来说这的确是一个最低成本且行之有效的解决方案了。下面我简单介绍下原理:

principle.jpg

一、陷阱文件检测

如上图所示,陷阱文件会把自己穿插到当前磁盘的文件中,这样就导致陷阱文件也会被勒索软件遍历到,当然了,可以用户自行设置指定的陷阱文件,这样可以提高陷阱文件的隐蔽性。因为可以保证勒索软件无法准确的判定哪些文件是陷阱文件,哪些不是。          

当受害者的机器不小心感染并运行了勒索软件之后,勒索软件就会遍历磁盘,并且寻找符合加密文件进行加密,如上图所示。从文件1到文件4都已经被勒索软件所加密。接着勒索软件刚好加密到陷阱文件,当加密陷阱文件时,由于文件发生变化,就会被陷阱检测系统检测到。

二、轻量级的清除还原

当陷阱文件检测到陷阱文件发生了变化以后,会先阻断(使加密线程进入等待状态)当前的勒索软件的加密操作。同时会触发还原清除系统开始进入还原清除步骤此时还原。 

还原系统会比较当前系统盘中的文件与上次还原点中系统盘的文件的差异变化,然后把记录这些变化后会重启一次系统,重启系统以后清除系统会第一时间把记录下的变化文件全部清掉。因为勒索软件肯定是在这些变化的差异文件中,因此就会一同把勒索软件给清掉的,原理类似于windows系统还原。

三、文件备份保护

再如上图所示,虽然此时勒索软件主体已被清除。但文件1到文件4之间的这四个文件都已经被加密了。那么此时就可以通过备份保护系统把被加密的文件还原回来,因为这些被加密的文件在被加密时文件备份系统都会对其进行备份的。 

这样就保证了哪怕中了勒索软件不仅可以清掉,而且还可以把被勒索软件所加密的文件还原回来。

需要说明的问题:

陷阱文件是必备的,因为所有勒索软件都无法避免的操作就是需要遍历磁盘文件,这是它根本无法避免的行为。哪怕它强行针对性的设计出不需要遍历磁盘文件的加密勒索方案的话,那能怎么做,顶多是把自己注入到explorer进程,随用户浏览而进行加密操作,而哪怕这样,你会发现第一容易被用户发现,第二,依然避不开加密到陷阱文件。哪怕走狗屎运(几乎不可能)能避开陷阱文件,我们还有备份系统在哪里等着可以还原文件。

还有,传统的备份文件几种方法完全不适用于对抗勒索软件的威胁,冷备份的话太烦(估计用户会骂娘)。增量备份的话有逻辑漏洞(容易被攻击而导致崩溃),因此必须针对勒索软件的奇葩行为来重新设计一套文件备份方案,我给出的方案的就是小文件进行备份,大文件进行保护,否则依然会出现被针对性攻击而导致崩溃的逻辑漏洞。这一块的设计我说的简单,详细的阐述其实极其复杂,我几乎把所有我能预想到的有可能被攻击的逻辑漏洞都堵死了,同时还要保证最大程度的节省磁盘空间。不简单哪,你们自己走一遍就晓得了。

最核心的就是陷阱检测和备份保护这两大模块,这二者只要少掉一个,都将可能导致逻辑漏洞,无法实现完美防护。

啥?放出来不怕被抄袭么?哦,这个不怕的,以上三者都已同步申请专利了哈。这个怎么说,要么就不玩,要玩的话就得认认真真干的有模有样一点不是么?哎呀,你们别打我呀,我苦憋一年就为了这一次装X我容易么我(简直是下尽血本来装X好么,这是一种什么样的精神)。

关于收费方案

目前的收费方案是,防护免费,当用户真的中招了并且文件被加密之后需要通过备份系统恢复文件的话,那个时候您来买个序列号帮我回点本。说真的能彻底解决掉一个领域细分问题是我的荣幸。我可以为大家免费写代码这都不是问题。但你也不能让我亏本,是不是这个道理嘛?放心很便宜的,一个序列号29块钱(就一顿盒饭钱哪),比发票还便宜,需要开发票的话(发票+快递费)30块钱。够意思了吧!简直良心价了好么?

实在没钱怎么办,你实在没钱我也就只能忍了。实在没钱的你就多研究研究怎么设置各种陷阱文件,保证勒索软件在加密正常文件之前先加密到陷阱文件,这样可以直接清掉就不需要还原备份文件了。因此也就不需要花钱。这招可以倒逼用户提高自我安全防护意识,嘻嘻。俺也算仁至义尽了哈!

关于公司的问题

有很多朋友问我说整这个是不是想创业,方向好像不错,我挺看好你的。在这里统一做个回复:

创你妹的业啊,我跑去注册公司,那完全就是被逼的好吗?

因为个人身份是没办法购买驱动签名的。

同时个人身份无法申请支付宝和微信收款公众号的,也就意味着不申请个公司你压根就无法(收钱)回本。

俺就是纯粹就是申请到数字签名以及回本才嗷唠一声跑去申请个公司。不是有句话叫自己约的炮,你们懂得……

你想俺本来就是抱着玩游戏的心态搞的这个软件,已经把自己1/3年收入坑进去了。你让我昧着良心再去坑投资人。算了吧。

好啦,该交代的都交代的差不多了。你们用勒索软件终结者,只要正确设置,完全可以防御各种已知和未知的勒索软件,希望能帮到各位用户哈。

哦对了,你们不要没事老看演示视频啊,服务器流量费很贵的,你们没事老看的话会把我看破产的哇,需要反复看的话,可以直接下到本地硬盘后随便你看。记得呀,这个很重要呀。

天哪,何年何月何日何时俺才能回本哪,这真是一个令人忧伤的事情……

好了不多扯,俺得赶紧写简历找工作去了。不然再过几个月信用卡要逾期了,最后祝各位新春开业大吉哈!

*本文作者:倪茂志,转载请注明来自Freebuf.COM

未经允许不得转载:安全路透社 » 【原创工具】勒索软件终结者:勒索软件,今天叔叔要教导你一些做人的道理!

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册