关于 5月12号开始疯传的wannacyp勒索病毒 说说自己的看法

1.此类病毒制作比较简单：说白了就是 createfile --> readfile --->writefile(加密). 但是为什么众多安全软件拦截性不是很好？ 并不是他们监控不到这些病毒的行为。而是不好区分这是正常软件的行为还是恶意病毒的行为。安全软件不同于小工具产品 是否误报多也是一个比较大的量化指标。所以目前多数安全软件的防御策略即 当有进程试图操作文件(写操作和删除操作)自动备份用户的文档。以便于用户回滚。

2. 中招了 就不要想着去解密了。分析这次的病毒可以发现。其实病毒是先创建新文件 然后读取原文件并将加密数据写入新文件中 最后删除原文件。所以病毒并没有直接将原文件进行加密。

这样我们可以采用数据恢复工具进行恢复。所以中毒后不要进行过多的磁盘文件操作 直接用数据恢复工具便可大概率的挽回自己的重要文件.

3.建议使用云同步产品 将重要文档定期进行压缩上传到云服务产品中.并且云服务产品最好支持可回退到某一次同步状态的操作.

wannacyp勒索病毒