Archive

Archive for September 26th, 2016

究竟防毒軟件是如何對抗勒索軟件呢?

September 26th, 2016 No comments

究竟防毒軟件是如何對抗勒索軟件呢?

究竟防毒軟件是如何對抗勒索軟件呢?

現時勒索軟件仍然對用户有很大的影響,例如前文提到勒索軟件之中的代碼自動進行變化,便足以令到傳統的防毒軟件沒辦法取得證明勒索軟件的攔截條件,試問又如何能偵測到勒索軟件呢?

於是有廠商便想出了非常創新的方法去應付勒索軟件,那便是針對一旦用户「中招」後,勒索軟件的一些常用手段,通過判斷這些手段,從而對勒索軟件要進行的動作進行阻止,最終成功阻止勒索軟件所造成的破壞。

該廠商的名字大家都十分熟悉了,就是 Kaspersky。今次她們發明了一種全新的技術對付勒索軟件,其創新的想法值得一讚!

預防勒索軟件過程

步驟一

與很多防毒軟件一樣,Kaspersky 在開初會先以 Kaspersky Lab’s advanced anti-malware engines 掃描各種惡意軟件,並與其本身的病毒資料庫進行對比,當發現進入電腦的惡意攻擊流量或惡意軟件等等的時候,便會進行封鎖。

當然,我們都知道對於採用了變化碼的進階勒索軟件來說,傳統的方式是不能 100% 偵測得到的,而 Kaspersky 亦不例外。

步驟二

接著 Kaspersky 會開始採用一種名為 Proactive 的功能,這技術主要是用來偵測當通過了步驟一的程式在執行時會影響到系統上的那一些檔案;而針對勒索軟件,Kaspersky 會通過 Proactive 功能下的 HEURISTICS 技術,並分析惡意程式的目標及所影響的檔案、指令以及程式的設計架構,從而偵測出未知的惡意軟件以及其家族成員並盡可能進行攔截。

當然,面對變化碼的勒索軟件,此功能仍然無法 100% 將之封鎖,於是便出現了 System Watcher 這功能。

步驟三

當勒索軟件真的不幸地通過了步驟二的話,便輪到 Kaspersky SYSTEM WATCHER 出場的時侯了。System Watcher 能針對程式進行跟踪,並就其行為模式進行偵測及攔截。

正如剛才說過,勒索軟件的變化碼難以被偵測出來,然而當勒索軟件被執行後,變化碼終將會出現一條固定的演算法,而此時 System Watcher 便會發揮其作用,並對勒索軟件被執行後的行為進行監測,當發現行為出現異常時,便會即時終止有關行為,就是這樣令 Kaspersky 能針對勒索軟件提供更佳的防謢。

步驟四

最後,Kaspersky 亦會通過一種名為 ROLLBACK 的功能,從而協助用户進行備份工作。

當任何程式,例如是勒索軟件嘗試改變或加密系統中的任何檔案(例如加密 .doc、修改 .exe 檔案、MBR、Windows 系統檔案或改寫 Registry)時,此功能會在檔案被改變前自動備份有關檔案,換句話說當勒索軟件嘗試改變系統之中的檔案時,此功能會率先自動備份將會被改變的檔案,從而讓 Kaspersky 進行攔截時同時進行復原工作,並以此為用户提供最底層的保護,讓你即使面對勒索軟件亦可擁有最佳的防禦。

當然加密檔案的動作,不一定是勒索軟件作怪,有時亦是企業對保護資料所採取的正當措施;而修改 Registry,亦是安裝正當軟件時常見的行為。因此 Kaspersky 為免此「守尾門」的 System Watcher 功能影響系統日常運作,其實已預設了動態白名單 Dynamic Whitelisting,而且透過雲端資料庫持續更新,常見且被評為安全的程式行為就不會被錯誤攔截。

以上資訊由www.hkitblog.com提供