赎金/病毒/恶意软件-现代保护(S)

Question

刚刚在GitHub上找到了这个：

https://github.com/gnxbr/Fully-Undetectable-Techniques/tree/main/minizinh0-FUD

我可以想象类似的赎金软件，恶意软件，病毒存在。

AV没用吗？

只有行为分析才是可行的方法吗？

我可以想象您可以实现几个层次的安全来捕获它(即当恶意软件、ransomware、病毒(如果有的话)打电话回家时进行HTTP检查，这将需要一个很好的坏it数据库)。

在Windows环境下，还有哪些其他保护措施可以防止赎金、病毒、恶意软件？

在中小型企业中，你会实现什么？开源解决方案将是很棒的。

Answer 1

抗病毒从来不提供100%的保护

这个统计数字声称AV软件能够阻止大约25%的攻击。这可以被看作是一件积极的事情(少了25%我不得不担心的事情)或一件消极的事情(75%还在经历)。

然而，常识是99%有效的。不打开陌生人的电子邮件附件，从阴凉的网站下载不透明的文件等，大大降低了妥协的风险。

行为分析也不是100%完美的

有一组操作被AV软件归类为“恶意”，以及一组用户为了完成他们的工作而想要做的操作。不幸的是，这两种软件有点重叠，所以AV软件的任务是确定有多严格。

太严格了，用户会抱怨AV软件妨碍了他们的工作--这会导致AV软件被调到不那么严格，或者AV软件被完全删除。

过于宽容，恶意软件可以伪装成用户执行任务，正如您链接到的GitHub存储库中所描述的那样。

行为分析的思想不是提供100%的保护，而是对已知恶意软件的匹配进行补充。这已经在顶级AV软件中实现了.换句话说，即使是行为分析，成功率也只有25%。

对恶意软件

的保护

有很多种方法，它们通常在一起。一般来说，你想防止恶意软件进入你的设备，而不是试图阻止它一旦它已经存在。为了做到这一点，已知的感染媒介要么被预防，要么变得更加困难。

恶意软件感染机器的一种方法是利用软件和操作系统中已知的漏洞。解决方案是集中式补丁管理，这意味着操作系统和软件始终保持最新，已知的漏洞将尽快修补。

恶意软件感染机器的另一种方法是通过网络钓鱼。网络钓鱼可以通过提高认识运动和垃圾邮件过滤器来对抗。例如，一封以!!! THIS EMAIL ORIGINATES FROM OUTSIDE YOUR ORGANIZATION !!!为前缀的电子邮件更有可能在周五下午从你的首席财务官那里发出警报。

当然，还有许多其他的感染媒介，但这应该给你一个概述。

Answer 2

我的电脑被赎金感染了，我丢失了很多文件。

我对这个赎金软件问题(以及所有恶意软件)的解决方案是使用深度冻结(www.faronics.com)保护驱动器C：(和任何其他驱动器)上的所有文件。深度冻结将写入硬盘的所有新信息重定向到分配表，使原始数据保持原样。通过重新启动，任何不受欢迎的或不需要的更改都会从系统中删除，并将其还原到其原始的冻结状态。

在另一个驱动器上保存活动文件所带来的不便是没有问题的。深度冻结允许您暂时停用(解冻)程序，这样您就可以定期修改受保护驱动器上的数据。

我建议定期使用新的或更改的数据更新任何受保护的驱动器，以便所有新文件也受到保护。例如，如果您拥有一家企业，并拥有重要的客户端和财务数据，您可以每天将新的或更改的文件添加到受保护的驱动器中，以便在发生赎金或恶意软件攻击时也可以恢复这些文件。

不幸的是，恶意软件和赎金软件使得保护您的文件成为必要，但这种方法对我有效。我有许多不可替代的文件，我不想丢失，所以我用这个作为我选择的安全措施。

Answer 3

一个更简单的解决方案。使用Web解决方案或SaaS程序处理云中的文件。不在本地或办公室网络中。您可以尝试Documentum或Sharepoint或Dataprius。

这样，公司的计算机就是连接到服务并处理文件的简单机器，信息是集中的。我不是说不使用任何杀毒软件。但如果文件在云中..。他们不可能被任何赎金感染。如果计算机被感染，您只需在其他计算机上工作，同时it团队就可以清理它。