瑞星預防勒索病毒工具「瑞星之劍」，演示抵禦 WannaCry

本文作者：李勤

導語：「瑞星之劍」究竟有什麼特點？

雷鋒網消息，5月19日，在 WannaCry 勒索蠕蟲事件爆發一周後，瑞星公司在北京召開了一個預防勒索病毒的工具——「瑞星之劍」產品發布會。

據瑞星新聞發言人唐威介紹，傳統安全軟體應對勒索病毒主要採取「截獲樣本」--「分析處理」--「升級更新」的方式，這種模式會給勒索病毒的傳播和破壞帶來一個「空窗期」，因此瑞星該軟體採用了「智能誘餌」「基於機器學習的文件格式判定規則」和「智能勒索代碼行為監測」技術，用來阻止已知勒索病毒，防禦未知勒索病毒破壞文件。

唐威闡釋了上一技術：「瑞星之劍」收納了70多個勒索軟體家族的樣本，通過對數萬個勒索病毒進行機器分析後，基於特有的演算法，抽離出上述病毒的行為點，再進行交叉分析，發現很多勒索病毒存在共性，基於這些共性，制定了一個規則集合庫，用這些規則來判斷當前病毒是否是可疑的勒索軟體病毒，如果是，就阻斷該病毒的破壞行為，實現防禦。

在發布會現場，瑞星的兩位安全人員演示了「瑞星之劍」的防護效果，他們先在未開啟「瑞星之劍」的情況下，展現了 WannaCry 運行後對計算機文件迅速加密的情景，然後又復現了在啟用上述安全工具下，有效抵禦 WannaCry 並在電腦上「預警」的場景。上述瑞星安全人員稱，在他們的測試中，目前「瑞星之劍」亦可抵禦WannaCry 的多個變種。

雷鋒網(公眾號：雷鋒網)還了解到，最近，已有多家公司和機構發現新勒索病毒 UIWIX 同樣通過「永恆之藍」漏洞(MS17-010)傳播，因此 UIWIX 也被一些人稱為WannaCry 的變種。在趨勢科技的一份資料中，曾稱 UIWIX有一項中斷異常，如果該變種發現自己在俄羅斯、白俄羅斯或哈薩克運行，則會自行終止。

這意味著該變種為俄羅斯黑客編寫？還是懼怕卡巴斯基的威力？還是其他作者嫁禍給俄羅斯黑客？雷鋒網就這一問題詢問了瑞星的看法。

唐威稱：「 我們也發現過某一版本的勒索病毒有一些地域性識別特徵，比如，我們當初發現過一個版本，確實會針對俄語區或者俄羅斯語言的 Windows系統，它會先檢測運行地區，如果是俄羅斯地區就會停止安裝，通過這個特性，我們仔細分析過病毒的代碼，發現這個版本的病毒很有可能是俄羅斯的黑客所編寫，因為該作者很多代碼的開發特徵為俄羅斯黑客普遍採用，他使用的源碼是俄羅斯論壇中經常分享的一些東西，所以我印象非常深刻，可以判斷那款病毒源自俄羅斯。您剛才提到的那款病毒，也不排除有這種可能性。」

最後，唐威再次提醒，針對勒索軟體， 「事後補漏」不如「提前防禦」。

［現場演示計算機「裸機」被 WannaCry勒索蠕蟲入侵］

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！