瑞星卡卡安全论坛

我司于近期中勒索病毒，而且在开启瑞星之剑防勒索的情况下，瑞星杀毒软件每天定时全盘扫描，，而且使用瑞星杀毒软件扫面加密后的勒索文件结果显示为正常，更可笑是的我在询问售后技术人员请教怎么通过我们大瑞星在中了勒索病毒后扫描出源头，结果售后人员一直没有正面回应。只能通过自己手动找出勒索病毒文档并手动清除了，安装过瑞星的企业用户应该最懂得其中的苦楚：服务器卡顿，瑞星莫名其妙关掉，运行程序迟缓等问题，老式服务器安装网络版几乎可以判死刑了，理论上只有百分之5的网络占用率，实际安装后卡的要死，谁用谁知道，真不建议企业用户安装瑞星，即使出了问题，这售后处理事情的态度太差劲，体验感极差:kaka4: :kaka4:

用户系统信息：Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36

真心希望瑞星能重视一下这方面的问题，产品怎么样不做评价，售后确实不行

第一张图，没有看到瑞星之剑的托盘图标，是被人为关闭的吗？
第二张图，被加密的文件只是被加密的文件，扫描当然不会报毒。

1、总控制台是开启的，客户端也是打开瑞星之剑的，即使打开也没有瑞星之剑的托管图标，只有瑞星小狮子图标
2、那就是被勒索加密的文件无法通过瑞星扫出吗？那我想请问如果中了勒索病毒，瑞星可以扫出源头并清除吗？
还有一个额外问题请教您，就是我每天定时快速扫描，周六周末全盘扫描自动杀除，为什么还会没有任何提醒而让勒索病毒进入且快速扩散呢

1.原来如此，那个总控制端里开启的瑞星之剑是下一个版本的ESM才有的，这个版本的ESM3.0尚不支持。估计是开发组们超前在网页端部署了。目前ESM3.0所有的，是基于非白即黑的本地信誉勒索防御系统，需要用户手动开启，并且自己配置学习模式和标准模式。但我也不敢说，他们给你们定制的版本是不是包含了瑞星之剑，如果有的话，本地客户端的详细设置里应该会有。
2.需要被检出并防御的应该是勒索病毒主体。看这情况要么是瑞星的反病毒引擎miss了。当然如果有病毒样本的话就可以入库检出。当然我也不知道你联系的是瑞星官方人员还是经销商，只不过非常时期，官人也不太出来了，估计是有不少事要忙。



仅靠反病毒引擎检测勒索，目前是有极限的，因为文件加密式勒索病毒的基本操作就是加密，而加密在计算机运行中几乎就是如同呼吸的频繁，行为防御不可能见一次加密就拦一次，更何况不少加密行为都是黑箱操作，无法判断一个程序是在对文件进行加密操作。目前防御勒索病毒的可靠方法，要么是类似瑞星之剑的文件诱饵，要么是类似趋势科技的云信誉，最可靠的莫过于异地备份了。

3.为什么会感染勒索病毒？
这个问题挺复杂的，我感觉是你们的设备暴露在了外网又没有及时打补丁，而你们严格意义上并没有安装瑞星之剑防勒索程序。

4.怎么解决被文件加密的勒索。
要是文件只是被对称加密的话，那还有希望联系安全软件技术支持进行解密。非对称就只能寄希望于警方找到了存放私钥的服务器，或者黑客自己交出来。具体可以看看这个：http://bbs.ikaka.com/showtopic-9353407.aspx
实在不行那只能认栽了。

1.一开始给的图里面，您尝试使用瑞星对被加密的文件进行扫描，这当然不会报毒，也不应该被报毒（本来是个正常的文件，仅仅是被病毒加密了，又不是向内部植入了恶意代码，为什么要报毒呢？）
2.就算您确保定期的全盘扫描，再加上及时更新病毒库，如果不对机器的一些安全隐患进行封堵（比如RDP开放外网且使用弱口令、漏洞不及时修补），仍然可能造成勒索软件入侵系统
3.续着第二点，目前很多勒索软件入侵服务器的方式都是攻击者通过RDP弱口令爆破人工入侵系统，这就变相获得了系统的最高权限（就像是攻击者在亲自操作这台机器一样）。攻击者可以使用非常多样的方式尝试关闭瑞星（如果您没有为瑞星设置密码保护，这个操作将变得非常容易，托盘右键退出就好了），然后再手动运行勒索病毒。我们这边曾经接到过一些案例，通过分析系统日志发现感染原因均为RDP弱口令。甚至还有一些机器因为没有配置密码保护，攻击者入侵服务器后直接卸载了上面安装的瑞星
4.根据截图，感染的勒索病毒应该是CrySis勒索病毒，很遗憾，目前暂时无法解密

另外，还是那几条已经说烂了的防范措施：
1.保持杀软病毒库/程序模块最新，定期进行全盘扫描
2.为安全产品配置密码保护，防止攻击者恶意关闭
3.及时打好系统补丁
4.一些可以开放在外网并借此“进入系统”的入口（如RDP、MSSQL），能不开放在外网就不开放在外网，同时确保相关账户有较高的密码强度

因为勒索病毒中招后隐藏的很好，病毒源头不是很好找，像您说的“取样化验”几乎不可能，所以我的处理方式只是手动找出ROGER尾缀的加密文件手动删除或格式化磁盘

该服务器外网是开启的，因为公司运作模式服务器外网必须要打开，这是被攻击的首要条件，必要的漏洞补丁都会定时打，像瑞星管理保护密码也有设置，服务器管理员密码也是定期更换，有一点您说的很对，公司员工都是通过RDP远程桌面访问，可能相关用户权限策略没有设置完善病毒通过漏洞进入的。后来中勒索病毒重装系统后又在域共享文件SYSVOL下属文件poilcies发现该病毒加密文件，猜测其源头应该是在这里，不过我直接删除了，没有做存档动作担心进一步扩散。还有一点就是瑞星的售后技术方面，反馈问题后回复龟速，或者直接不回复，服务让我很失望，希望得到进一步改善吧

如果能够直接访问这台服务器的机器出了问题，那么这台服务器也很有可能一并被波及
还请您不仅要留意服务器本身存在的安全隐患，也要同样需要注意攻击者可能利用其他机器（如员工办公机、其他存在安全隐患的服务器）作为跳板入侵服务器

建议您排查下企业内部使用的共享（可以直接更新瑞星病毒库然后在有读写权限的账户环境下对整个共享区域进行扫描），以及一些可以接触到这台服务器的机器

有关售后的问题，目前这段时间处于特殊时期，在售后服务上可能会有一些不大好的体验（比如回复不及时等问题），还请您谅解

哎呀

好久没研究病毒了，也好久没叨叨过关于病毒的话题了，这几年一直只顾着叨叨女孩子们:kaka8:

今天也说两句病毒上的事吧:kaka12:

目前的勒索病毒这块的主要发展是这样的:

一是肯定要做针对性免杀处理，就是向世界放出病毒文件之前要精细的针对全球主流杀毒做免杀处理。这样才能保证在有杀毒软件的电脑内可以良好的运行起来。

二是提升攻击漏洞，就是寻找利用近十几年内才出的大量Windows肯定会普遍使用的某些功能的漏洞，例如远程桌面漏洞，例如文件共享漏洞，其目的就是为了攻击成功，尤其是通过局域网某一台电脑误下载误运行不明程序开启病毒后，病毒可以扫描攻击同局域网内其他电脑的漏洞去感染破坏网内其他电脑。因为可能网内其他电脑不连外网。这是相比于过去早期的纯只感染连外网电脑不感染局域网其他电脑的早期勒索病毒的区别。

三是病毒运行后一般都采取调取Windows自身的系统程序去执行加密行为，因为只有这样才能让所有安全软件采取的数字验证通过并放行这个最终的加密行为。

四是病毒主体运行后即删除自身，以保证即便后期杀毒软件拿到样本加库后，这边的用户升级杀毒软件也本地扫描不出什么。

另外话题，所谓扫描出病毒源头，那是不可能的了，一是因为病毒运行后立即删除自身，二是源头这玩意不好说，可能系统漏洞直接被攻击，可能本单位局域网内有人就傻不拉几的下载运行了不明文件导致病毒运行起来，或下载查看了不明邮件的附件。或使用移动存储设备从外面带入本单位。

目前查看的办法，也就是全网电脑停止工作封存，由专业人员根据所有电脑里被加密文件的时间去反推那时候谁在捣鼓电脑，谁在干什么事。根据网络设备和电脑内的各种日志去分析.............

这些看来是个浩大的工程，弄不了的了。

所以对于企业重要电脑内，最佳办法是精美的备份手段加上系统内禁止运行任何未经允许的程序即可很好的防止勒索病毒的运行。因为即便系统漏洞被攻击成功，但是病毒是无法运行起来的。因为它不属于允许运行的指定程序。

记得当年的SSM策略是就连规则内允许运行的程序的MD5值改变了，都不再允许运行呢。

另外一个无比重要的事情，或者叫细节吧，就是目前所有勒索病毒所利用的那个最终执行加密行为的Windows系统程序是人们日常无论是普通电脑还是服务器中都几乎千年不会用到的程序呢。因此禁止任何未经指定的程序运行是最佳办法了。当然精美的备份手段是必须要有的。:kaka12:

再多说一句，为啥病毒运行后一般都采取调取Windows自身的系统程序去执行加密行为呢？

是因为安全软件的发展，人们对Windows的安全策略的变化，迫使病毒走上了这个方向。

安全软件为了不影响普通用户的使用感受，采取了自动放行具有良好数字签证的程序做任何事，没错是任何事

人们对Windows的安全策略和规则有时候为了省事，也是默认放行具有良好数字签证的程序的。

实质上，我们现在的杀毒软件的主防这块，都应该增加这样的策略，就是监测任何一个没有数字签证的程序企图去调取、启动、执行（甚至是注入系统进程）的具有数字签证的Windows自身程序的行为。


这样就可以很好的阻止住当前主流勒索病毒的破坏行为。


不过目前所有杀毒软件的主防这块的初始化默认规则里都没有这样的防御模式。

今年的勒索有大变化 越来越智能了 瑞星之剑 引擎 主防 都过的很多 国产其他杀软更不行了 应该培训企业用户 使用esm特殊的防勒索

而且还有一个问题，服务器装瑞星客户端使用RDP远程桌面非常慢，打开软件也很慢，不知道什么问题，关掉瑞星一切运行正常，我的是3.0网络版build1.64版本，询问售后工程师聊着聊着挂掉电话了:kaka2: :kaka2: 2次，再打就没人接了