火绒勒索病毒诱捕技术浅析
今天在更新火绒时,无意间发现火绒有个勒索病毒诱捕技术开关,我当时没有开启。点击开启后,在C盘下发现随机名称的文件夹,里面有一堆随机字母数字组合的文件,文件类型还有office文档,但文件打不开。这估计是开启开关导致的。我想了想这差不多是蜜罐吧,但是蜜罐有个缺点,蜜罐被狡猾(厉害)的入侵者反利用来攻击别人的例子也屡见不鲜,只要管理员在某个设置上出现错误,蜜罐就成了打狗的肉包子。该功能在火绒的病毒防御选项中进行设置,在增强勒索病毒防护下有“开启勒索病毒诱捕”,默认是不勾选的,如果选中就有前述的现象。火绒官方说法是:
勒索病毒诱捕功能设计目的主要是用于增强勒索类病毒的防护。当开启该功能后,火绒安全软件会在系统盘符下创建两个具有隐藏属性的随机名文件目录,随机名文件目录里会有若干常见文件格式的随机文件,防护系统使用这些随机文件来诱捕勒索病毒,达到增强防护的目的。
当用户开启勒索病毒诱捕功能或开机、重启时,会自动创建随机文件目录(肉包子),关闭该功能或关机时,创建的随机文件目录会自动删除。另外,火绒自动升级后,随机文件夹也会重新生成。