齐建军

谈谈防病毒的基本功

齐建军

现在有一种名叫敲诈者类的病毒，操作系统中如果中了该病毒的话，就会导致硬盘里的所有文档、图片文件及压缩包等等的文件遭到病毒的高强度加密，如果你想要取回这些文档，目前只有一个办法，那就是交赎金。

敲诈者类病毒的危害

受害者需要在96小时内支付指定比特币赎金，否则文件将永久无法打开。可是在国内就算中招者想要使用比特币来支付赎金，也会遇到一系列的困难。病毒作者正是利用了比特币的匿名性来逃避警方的追查。

文件被加密了不会解密么？有网友问到，该病毒可不是那种采用虚假隐藏目录来“加密”文件的病毒，而是采用随机生成KEY的模式，对用户文件ZLIB压缩之后进行了AES加密，有专家称针对AES的攻击是异常复杂的，使用现有技术不可能轻易做到，事实上要想完全破解AES，花费的时间要以数十亿年计。

正因为这些被恶意加密的文件，不少企业甚至个人都不得不与病毒作者进行交易。有的甚至因为无法支付赎金而导致了文件的无法恢复，给企业与个人带来了巨大的损失。

除了CTB-Locker这个敲诈者病毒外，还有另一种比较温柔一些的VirLock，同样为敲诈类病毒，主要通过伪装成EXE文件迷惑用户，病毒会感染DOC、XLS、PDF、PPT、PNG、GIF、BMP、PSD、JPG、MP3、MPG、RAR、ZIP文件，将其变成EXE文件，被感染文件比原始文件扩大500kB左右，并且原文件的版本信息会丢失。用户运行被感染文件后就会中招，硬盘中的文件会被锁定，并弹出提示框，提示用户付费(0.71 BTC，约合人民币1000元)恢复被感染文件，黑客以此向用户实施敲诈。不过被VirLock感染的文件已经可以被某些杀毒软件推出的专杀工具所恢复。

老生常谈的基本防病毒措施

既然还没有能够破解它的方法，那么我们就只能在防范上边想想办法了。接下来我们一起来探讨一下如何防范这类病毒吧。

防范措施一邮件附件很危险

目前，敲诈者病毒主要通过电子邮件来进行传播，那么防范的第一要素就是不要轻易的打开陌生人发来的邮件附件及邮件里的链接，当然就算熟悉的人给你发来的邮件，如果没有特别的说明，也不要轻易打开。要知道，不仅仅是敲诈者病毒会通过电子邮件来传播，还有N多的病毒木马也会通过它来传播，并且利用感染者的邮箱来发送病毒邮件到用户的联系人中。

而因为浏览网页而让系统感染上病毒的情况也不少见，这是因为用户浏览了一个被挂上了病毒木马的网页，而相关的病毒木马根据漏洞而入侵用户的电脑。这也就是上边所说的不要轻易的点击电子邮件里边的链接的原因。除了不要随便浏览未知网站外，最重要防范措施就是为你的系统打好补丁（Windows Update）和使用新版的浏览器。

移动存储器也是一个重要的病毒木马传播途径，关闭系统的自动播放功能，可以帮助你防范病毒木马通过移动存储器的自动播放功能而感染你的操作系统。

具体步骤：运行（win+r键）→gpedit.msc→计算机配置→管理模板→Windows组件→自动播放策略→关闭自动播放→已启用→全部驱动器→确定。

防范措施二扩展名称仔细辨别

千万不要以貌取人，到了电脑上就是不要以文件图标来辨别文件类型。看了看文件图标，嗯，这个是PDF文档，那个是TXT文档，打开肯定不会感染病毒的，放心大胆的打开了看看是什么来的。

要知道，把自己伪装成正常的文档是病毒木马的基本功，把自己的图标伪装成TXT文档，伪装成JPG图片文档，那对于病毒木马的作者来说是轻而易举的。辨别文件不能只看图标，还得查看它的扩展名。前一阵子不是出现了淘宝店客服因为打开了客户发来的“图像”文件而中了木马导致帐号金钱被盗的事件么。

如上边的文件，只需要用户显示了它们的扩展名，就能一眼看出它们不是普通文档，而是可执行文件，问题是Windows默认不显示文件扩展名。常见的可执行文件扩展名有*.exe/*.bat/*.com，现在许多用户已经对exe这类的可执行文件有了防范意识，所以敲诈者病毒则将自己的扩展名定为了SCR这种原来在Windows下为屏幕保护程序的文件，可是scr与exe文件一样，同样可被执行。

怎么显示文件的扩展名？以Windows 7为例，打开任意文件夹→菜单栏→组织→文件夹和搜索选项→查看→隐藏已知文件的扩展名（去掉勾）。

防范措施三定期异地备份

硬盘有价，数据无价。和以前不同，现在有许多人都习惯了把重要资料保存在电脑中，方便查看与修改。可是许多人却忘记了硬盘会坏，电脑可能被盗，文档可能被误删除，系统可能会被感染病毒，甚至到了目前的文档可能会被敲诈类病毒加密的地步。因为这些原因而导致重要资料丢失的新闻并不鲜见，有个教授甚至因此而丢失了几十年的科研记录。

所以养成定期的文档备份习惯是必须的事情。现在有许多自动同步软件，可以帮助你自动进行文档的本地及局域网、FTP备份。

而且还有许多的网盘软件，也可以帮助你把指定的文档定期的备份到网盘存储空间去。部分网盘还支持多版本文件功能，更是可以帮你找回文件的旧版本。

而笔者建议的是，至少要用一个移动存储器（如U盘、移动硬盘）来对重要资料进行异地备份。也就是说，备份存储器不要时刻与电脑进行连接。只在需要备份时进行连接。为的就是防范备份文件在系统中毒后也会遭到感染。

对于这个用户备份的移动存储器里边的备份文件保密问题，你可以采用WindowsBit-Locker功能相对该移动存储器进行加密操作。具体步骤请参考笔者的另一篇文章。

防范措施四安装一款靠谱的杀毒软件

现在敲诈者病毒已经被各个安全软件公司所关注，当然相应的各个知名杀毒软件也能够查杀该病毒及其一些变种，所以安装一款靠谱的杀毒软件还是非常有必要的，还有，记得要升级所安装的杀毒软件病毒库到最新版本。

只是，敲诈者病毒或许还在更新，并且会形成更多的变种以逃避杀毒软件的查杀，所以有了杀毒软件也不能掉以轻心。

还有需要注意的是，如果系统真的中了CTB-Locker，并且重要文档被加密的话，千方不要查杀该病毒，查杀后你无法解密这些文档，因为目前为止，只有支付赎金来获得文档解密这一途径才能解密文档，你把病毒查杀了，也就不能支付赎金了。

而对于VirLock这种感染全盘文档并且把全部感染的文档都变成它的病毒文件的病毒，你要做的就是先格式化重装系统，重装系统后再进行全盘的病毒查杀操作。有重要资料被感染的话，可以尝试下载专杀工具进行查杀及恢复操作。

重要的是，先恢复被感染的文档再进行病毒查杀操作。

防范措施五临时的防范措施

由于CTB-Locker病毒目前使用的扩展名为scr这种原来在Windows下为屏幕保护程序的文件，除了屏幕保护，鲜有其它程序会用它作为扩展名，利用这一点，我们就可以用个临时的措施来禁止scr类型的文件的执行，来防止误点CTB-Locker的scr文件。

你可以这么做：单击“开始”→在“搜索程序和文件”框中键入secpol.msc→按Enter键→打开本地安全策略→找到应用程序控制策略→AppLocker→右侧空白区域右键菜单→创建新规则→进入新规则向导。

“权限”步骤：操作设为“拒绝”，用户可以选择“Everyone（全部人）”或者是指定帐户，当然最好是Everyone。

“条件”步骤：这里我们选择路径规则。

题外话：现在对付许多国产软件的自动安装，用这里的“发布者”的条件来做限制是最好的。也就是说，现在的正规的软件的相关程序都是经过软件发布者签名的，利用这个规则，就可以限制所有拥有该签名的程序。举个例子，如果你把腾讯的软件签名列入禁止名单的话，拥有该签名的相关软件都无法运行，包括安装程序。

“路径”设置：直接在路径中输入“*.scr”

“例外”设置：经过上一步设置后，所有扩展名为scr的程序都将无法运行包括Windows屏幕保护程序，如果你需要用到屏幕保护程序，那么可在这里将其添加成例外程序。

“名称”设置：最后一步就是设置规则名称，你可以帮这条规则起个易于识别的名称。

如果你是当前创建的是第一条规则，那么在完成后会有个默认规则创建提示，需点击“是”，允许创建默认规则，以免你设置的规则使得系统文件程序遭到限制。

设置完成后，你可以将任意exe文件，最好是安装包更改后缀名为scr，来进行测试scr文件是否被正常拦截。

编者注：如果设置AppLocker规则无效，请单击“开始”→在“搜索程序和文件”框中键入services.msc→按Enter键→打开“服务”，找到找到Application Identity项，将其启动类型设为“自动”，然后按“启动”，就可让规则生效。

杀毒软件在关键的时候能帮上你大忙，你可别掉以轻心。