雷锋网消息,5月19日,在 WannaCry 勒索蠕虫事件爆发一周后,瑞星公司在北京召开了一个预防勒索病毒的工具——“瑞星之剑”产品发布会。
据瑞星新闻发言人唐威介绍,传统安全软件应对勒索病毒主要采取“截获样本”--“分析处理”--“升级更新”的方式,这种模式会给勒索病毒的传播和破坏带来一个“空窗期”,因此瑞星该软件采用了“智能诱饵”“基于机器学习的文件格式判定规则”和“智能勒索代码行为监测”技术,用来阻止已知勒索病毒,防御未知勒索病毒破坏文件。
唐威阐释了上一技术:“瑞星之剑”收纳了70多个勒索软件家族的样本,通过对数万个勒索病毒进行机器分析后,基于特有的算法,抽离出上述病毒的行为点,再进行交叉分析,发现很多勒索病毒存在共性,基于这些共性,制定了一个规则集合库,用这些规则来判断当前病毒是否是可疑的勒索软件病毒,如果是,就阻断该病毒的破坏行为,实现防御。
在发布会现场,瑞星的两位安全人员演示了“瑞星之剑”的防护效果,他们先在未开启“瑞星之剑”的情况下,展现了 WannaCry 运行后对计算机文件迅速加密的情景,然后又复现了在启用上述安全工具下,有效抵御 WannaCry 并在电脑上“预警”的场景。上述瑞星安全人员称,在他们的测试中,目前“瑞星之剑”亦可抵御WannaCry 的多个变种。
雷锋网还了解到,最近,已有多家公司和机构发现新勒索病毒 UIWIX 同样通过“永恒之蓝”漏洞(MS17-010)传播,因此 UIWIX 也被一些人称为WannaCry 的变种。在趋势科技的一份资料中,曾称 UIWIX有一项中断异常,如果该变种发现自己在俄罗斯、白俄罗斯或哈萨克斯坦运行,则会自行终止。
这意味着该变种为俄罗斯黑客编写?还是惧怕卡巴斯基的威力?还是其他作者嫁祸给俄罗斯黑客?雷锋网就这一问题询问了瑞星的看法。
唐威称:“ 我们也发现过某一版本的勒索病毒有一些地域性识别特征,比如,我们当初发现过一个版本,确实会针对俄语区或者俄罗斯语言的 Windows系统,它会先检测运行地区,如果是俄罗斯地区就会停止安装,通过这个特性,我们仔细分析过病毒的代码,发现这个版本的病毒很有可能是俄罗斯的黑客所编写,因为该作者很多代码的开发特征为俄罗斯黑客普遍采用,他使用的源码是俄罗斯论坛中经常分享的一些东西,所以我印象非常深刻,可以判断那款病毒源自俄罗斯。您刚才提到的那款病毒,也不排除有这种可能性。”
最后,唐威再次提醒,针对勒索软件, “事后补漏”不如“提前防御”。
[现场演示计算机“裸机”被 WannaCry勒索蠕虫入侵]