瑞星卡卡安全论坛

本文鸣谢@瑞星之剑开发组@hez2010@XywCloud等人为本篇文章提供技术信息。

瑞星之剑，严格意义上讲，不能单独算是个人级产品线，因为这个产品不少企事业单位和个人都在用。

     

瑞星之剑，这个主要针对未知的文件加密式勒索病毒的防御程序，本身是一个很轻巧的单文件程序(谈不上绿色程序，因为需要加驱和写入注册表键值)，不依赖云，主要技术还是靠诱饵陷阱这种面向行为的判定方式，但是，相比于其他几家诱饵陷阱式勒索防御软件，瑞星之剑的诱饵文件是驱动虚拟的，这样大大降低了布置诱饵时的资源占用，而且对针对性免防做了大量防范工作，比如每次开机，诱饵的文件名都是随机生成。而且据官方称瑞星之剑还包括了一些针对文件加密式勒索病毒的行为分析防御，官方的具体说法是“基于机器学习的文件格式判定规则”和“智能勒索代码行为监测”技术”（至于效果如何，因为没有办法割裂诱饵陷阱功能单独测试，我不敢说）而且后来的版本增加了对MBR锁硬盘式勒索病毒的行为防御。

半价序列号购买地址：https://item.taobao.com/item.htm?spm=a2oq0.12575281.0.0.4ace1debLbj1ec&ft=t&id=626005760066

     

用户系统信息：Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36

这个程序大概很早就在瑞星的内部实验室里慢慢研制了，刚出来时的状态也显得有点仓促，估计连名字都没怎么想好，就随便叫了瑞星之剑。应该是17年5月这场突如其来的永恒之蓝勒索大爆发，让瑞星高层意识到机不可失，于是下令手下的攻城狮们爆肝了一个星期，然后在5月19日，在北京开了一个发布会，瑞星的市场部经理，现在是副总裁的唐威亲自上阵解说，现场演示瑞星之剑的效果。成功地在媒体前刷了一波关注度。

好吧，报道出现了偏差，高层并没有下令攻城狮们 “爆肝”
是攻城狮想给大家提供一个解决方案，防住已知未知勒索病毒，自发搞出来的

http://www.rising.com.cn/j/

由于开发仓促，刚开始的瑞星之剑算是相当简陋，而且Bug不少，hez2010大大就为早期程序版本的诱饵文件随机命名算法和瑞星之剑的主负责人在一个内部群里讨论了一番，而且之后出现了误拦程序，拦截不彻底等等一系列问题。但是发展到现在的1.0.0.68版，很多问题都已经基本解决，效果出众，具体可见：http://bbs.ikaka.com/showtopic-9340001.aspx。
感觉这两年瑞星对反文件加密式勒索的工作做得非常好，无论是RDM+针对勒索的检测力度还是瑞星之剑还是其他整套的企业信息安全方案，而且卡卡论坛专门为瑞星之剑开了一个版块，用来收集来自各界用户的产品反馈。需要说明的是，现在的1.0.0.68版还不是最终形态，在之前我意外地发现了这个小程序潜藏的更多彩蛋，在经过反馈之后，瑞星方面暂时屏蔽了发现这个彩蛋的方法，因为据说还没搞好。

再到后来，瑞星之剑收费了，但是收费的原因很让人无语，有企业找到瑞星，想要搞几个进他们的服务器里，可是有奇葩规定要求他们必须使用收费的安全软件产品，而他们又不愿意往服务器里安装常规的杀毒软件，而当时瑞星正忙着其他一堆事情，没空搞个分支再做一个服务器版，客户又要得急，只好把现有的产品进行收费化，于是就有了现在的收费瑞星之剑，而现在再搞个免费瑞星之剑又是一件吃力不赚钱的事。所以，就这样了，事实上，即便没有输入序列号，瑞星之剑的防护依然在运行，有效，只不过隔数个小时催一遍租子感觉真的有点烦。所以要用瑞星之剑的话，最具性价比的方案就是购买瑞星杀毒软件收费版，或者乘着瑞星安全云终端还算廉价的时候赶紧入手，据说下一代ESM/安全云终端会把瑞星之剑整合进软件中。



半价序列号购买地址：https://item.taobao.com/item.htm?spm=a2oq0.12575281.0.0.4ace1debLbj1ec&ft=t&id=626005760066

这个软件的使用方法非常简单，你只需要把这个软件存放在电脑里任意一个合适的位置，双击运行，就算安装完成了，防御是自动化的，不需要你去干预。要卸载也很简单，对任务栏的“瑞星之剑”托盘图标右键-卸载即可。
   
瑞星之剑本身具有自动更新程序，但是由于不依赖瑞星软件部署系统，这个程序的自动更新程序显得比较消极，为了避免企业统一时间开机导致的内部网络拥堵，瑞星之剑没有设计成开机就自动检测更新，而是遵循了一个时间随机算法。当然，你也可以手动运行瑞星之剑的更新程序。毕竟这也是无可奈何的啊，一个软件，免费提供使用也没有广告，目前几乎无钱可赚，从商业运营的角度能做到这一步实属不易了。（说这话的时候瑞星之剑还没收费）

当有程序触发了瑞星之剑的拦截机制时，程序会被瑞星之剑结束进程，有的程序会被添加.bak后缀。大部分被拦截的程序会被上传到瑞星的服务器进行分析是误报还是真的勒索，所以瑞星之剑的用户用得越多，瑞星就能越早发现游弋于网络中的勒索威胁。

瑞星之剑能防的主要是文件加密类勒索病毒，但是，其实据说也能防MBR锁机勒索，但是我没看到有人测过。

最后需要说明的是，即便是瑞星之剑具有针对未知勒索病毒的通用防御功能，个人也不建议单奔这一个程序，因为文件随机加密算法可以大概率绕过勒索诱饵，现实的电脑环境环境中，黑客有可能通过远控木马关闭瑞星之剑，也可以让勒索病毒在开机程序中抢先于防御软件运行，从而实现绕过瑞星之剑防御进行加密勒索，至少搭配一个靠谱的反病毒软件才是上策。




PS：现已确认卡巴斯基在运行有瑞星之剑的系统上运行全盘扫描时会陷入一个死循环中，请谨慎考虑搭配。http://bbs.ikaka.com/showtopic-9353964.aspx

补充：高层并没有下令攻城狮们 “爆肝” :kaka11:
是攻城狮想给大家提供一个解决方案，防住已知未知勒索病毒，自发搞出来的:kaka12:

有卡巴斯基安全软件，为何还要瑞星之剑？

也可以说明此工具兼容性不错

好的，可以搭配

这玩意使用者一旦巨量的话，它就没有存在的价值了

你使用量一旦大到影响勒索病毒全球做事，勒索病毒就会增加停止你运行的手段。

可怜的。

卡巴斯基拦不住的时候多一重保障:kaka1:

目前还没发现有被勒索病毒停止运行的情况，效果不错的，欢迎体验:kaka12:

很好用，电脑端使用。

欢迎体验，谢谢支持:kaka12: