一陣子沒見到災情， 最近又有點死灰復燃的感覺，所以想丟一點撇步供參考。 1. Email 附檔盡量不要開 除了可執行檔，尤其 js、vbs、shs、bat 這類指令碼變種、加密非常多樣化， 防毒軟體常常偵測不到。不要以為 js 只是純文字就認為安全， js 這種東西點兩下打開的不是記事本不是瀏覽器，是從背景跑 wscript 自動 從網站下載惡意程式執行，看都看不到，防不慎防。 * 再補一個，Office 系列檔案有巨集的也很危險，不要傻傻的就去點「啟用巨集」。 2. 你需要漏洞防護 「我明明什麼都沒點啊，逛逛網站怎麼還是中標！」 因為你的 Windows 有洞、IE 有洞、Flash 有洞、Java 有洞…通通都是洞， 它就是有辦法做到讓你一邊上網一邊自動下載執行惡意程式。 微軟免費提供的 EMET 能替一些常用的 Windows 程式加點額外保護。 即使如此也不要忘記隨時保持軟體最新版本或者乾脆關掉千瘡百孔的 Flash。 有些防毒軟體也提供這種功能，那就不用另備了不然可能會打架自爆。 Malwarebytes 也提供免費的 Anti-Exploit，選一個裝就好。 運氣好時它們能阻止漏洞被利用，所以惡意程式不會被執行， 但是它們不能「阻止勒索軟體」，你要是手賤硬要執行它們是不會擋的。 比如說單純一個木馬連結，出現問你要下載還是執行這種不會擋。 不怕麻煩的再找個沙盒之類的會更安全 (…但就是麻煩) 3. 我用 Mac OS 無敵對不對？ 壞消息是： Mac OS 的勒索軟體已經出爐了。 最近有個叫 KeRanger 的勒索軟體混入 Mac OS BT 客戶端 Transmission。 http://gigazine.net/news/20160307-first-os-x-ransomware/ 4. 我有裝防火牆耶，為什麼還是中標 防火牆有在設規則嗎？還是全自動好方便？或是跳什麼通通允許？ 我是覺得懶人型防火牆根本沒有用 (不過有些有配合檔案信譽的就好多了) 像 Windows 防火牆預設只阻止連入連線，程式愛怎麼鑽他是完全不會擋的。 再舉一個我購入的 G DATA 防火牆預設的 Autopilot 像屎一樣， 美意是自動判斷，但結果就是什麼都自動允許， 我連拿木馬、拿廣告來測通通都是自動允許，到底請你來做什麼？ 自建規則亂設也不行，我之前為了玩遊戲就設成允許 Domain Service， 結果新增的規則是 svchost.exe 通通允許。偏偏勒索軟體最愛 svchost.exe， 注入後隨便你下載、開後門、跑加密等壞事，它就是這麼神奇。 有些看來像是私人作品的勒索軟體根本連連線都不連線， 也不拐彎抹角行為一堆搞注入搞開機啟動，而是直接就狂讀狂寫， 跑加密直接霸氣留 Email 要你直接來找，防火牆不見得有用。 5. 我有防毒，小紅傘喔，是不是很安全呢 小紅傘的行為防護是０是０是０。 很重要所以要說三遍。你就算用付費版也還是０，掃不到就是中獎。 論執行後的防禦我覺得小紅傘搞不好還比 Windows Defender 差。 當然不是說有什麼主動防禦、行為防護、HIPS…blahblah 就是我無敵我高枕無憂， 但是勒索軟體的行為總有固定模式 (雖然一直在變)， 防毒軟體廠商也一直在更新規則希望能擋下來，多一層保護總是比較好。 像卡巴斯基好不只是好在他的掃描和他的雲端檔案信譽， 最重要的還有他的系統監控和應用程式控制，而這也是一些免費軟體欠缺的。 工商連結 漏洞防護： Microsoft EMET https://support.microsoft.com/zh-tw/kb/2458544 Malwarebytes Anti-Exploit https://www.malwarebytes.org/antiexploit/ 注意 不要同時裝多套，簡單的 EMET 設定附在文章後面了 用 EMET 的一定要設一下，不然預設的保護項目不多 自稱可以防勒索的軟體： Hitman.Pro Alert (這款是公認的強大，也包括漏洞防護了，但是要付費) http://www.surfright.nl/en/alert Malwarebytes Anti-Ransomware (BETA測試版，小心使用) http://tinyurl.com/jh59xap BitDefender AntiCryptoLocker http://bit.ly/Cryptolocker 其實都是老調重彈。 另外我自己沒有中標經驗，也沒有精實的電腦知識， 有什麼不對的請盡量批評補充。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.121.189.142 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1457434956.A.907.html 我 G DATA 裝到現在漏洞防止完全沒有跳過任何訊息， 所以我不敢說這類防護「一定有效」。 但是在虛擬機測試舊版 FLASH 搭漏洞測試的網頁， EMET 和 MBAE 都能夠阻擋。 我也不知道去哪裡生病毒網頁所以沒辦法真的去一一測試。 真要推哪個很有效，我不知道，抱歉。 看有沒有板友能給意見了。 還是要回：不知道。 就是因為不知道哪裡還有洞沒補起來才會被攻擊， 那些現在被說不要再用了的版本也曾經是最新版過。 你是用什麼軟體？EMET 還是 Malwarebytes 的。 測試之後 PCMan 和 PTTChrome 都沒有這種問題 ，我大概沒辦法幫你。 ---- 以下無關 ---- 再補充一下。 EMET 和 Malwarebytes Anti-Exploit 不要同時使用，必當。 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1457434956.A.907.html Microsoft EMET 任何程式都可以加，不過不用什麼都加。 確認你常用的瀏覽器、播放器、PDF閱讀器… 這類容易接觸外來檔案的程式有保護就好了。 如果你加了一直當…那那那，我也不知道。 可能是有衝到得取消某些保護。 (update) 剛安裝好的推薦設定只有一些基本程式， 抱歉我一直改 不過微軟已經先做好一些常用的程式設定放著了。 直接點選 Import... Popular Software 就會加進常用的程式。 http://i.imgur.com/zHEkIzP.png 其他想加的發現沒有在列表(點上面的Apps看)也可以自己加， 以 Chrome 為例 (只是舉例，如果你有匯入清單那是已經有包含) 你高興要從左上點 Apps ... 然後 Add 也可以，只是要找路徑麻煩。 1. 建議先打開想加的程式，然後再開啟 EMET 介面。 直接在下面程式清單找到比如說 Chrome，點一下右鍵。 再點 [ Configure Process... ] http://i.imgur.com/pPVItU2.png 2. 他會自己加進去受保護清單，點一下 OK 就好了。 http://i.imgur.com/jrs7ZX5.png 3. 會出現一條訊息說你可能需要重新開啟程式。 http://i.imgur.com/xfpfx2S.png 4. 重新啟動 Chrome 並且 Refresh 或重開 EMET 介面， 看到有個綠色的勾勾出來就是 OK 了。 http://i.imgur.com/BPPhqcU.png Malwarebytes Anti-Exploit 不需要設定 免費版無法自訂要保護的程式， 所以只有最常用的瀏覽器等軟體受到保護， 如果你用比較小眾的瀏覽器要注意。 (清單中鎖是開的或沒有在清單中代表沒有保護) http://i.imgur.com/aAJfGIi.png 如果覺得每次開瀏覽器都有泡泡很煩可以關掉。 http://i.imgur.com/Qj6nBVI.png 你也可以用 EMET 就好，反正都不用錢。 我一開始寫得好像 EMET 要錢似的 (反省中) 剛剛遇到有樣本可以過 HitmanPro.Alert 的 Cryptoguard， 還是千萬小心。 新發現，之前以為過的那個樣本啊，根本就是假勒索真詐財 他居然只是透過 CMD 搜尋一些特定副檔名的檔案把副檔名改成 crypted， 然後就想跳網頁出來跟你討錢。 大概解釋了為什麼幾乎所有軟體都沒有報這個，這實在太白癡了啊。 對，上面提的那個是改回來就好。 那個樣本是 JS，會生出 CMD 檔案執行順便下載其他惡意程式。 JS, VBS, BAT, JAR ...等大部分主防、雲之類的都不會報， 要重視應該也沒辦法，只能靠掃描了。 這種他們還是會入庫，畢竟不是開玩笑而已是真的挺惡意。 ※ 編輯: brianuser (114.47.172.146), 03/14/2016 19:21:32