DLL对策:安全研究人员提出了阻止勒索软件加密文件的新策略例如,最近,安全研究人员JohnPage(又名hyp3rlinx)介绍了一种新的反勒索软件方法。根据其个人网站和推特账号发布的内容,约翰佩奇专门寻找恶意软件本身的漏洞,最近分享了防止勒索软件加密受害者文件的方法。视频截图(来自:malvuln/YouTube)据悉,很多勒索软件都会受到DLL劫持的影响。通常攻击者会利用这个动态链接库来诱骗程序加载运行他们预期的恶意代码。但转念一想,你也可以利用这项技术来“反劫持”,防止某些类型的勒索软件。JohnPage在他的网站上分享了REvil、Wannacry、Conti等最新恶意软件版本的漏洞利用和自定义DLL的详细信息。可以看出,为了成功解包,DLL需要位于攻击者可能放置恶意软件的潜在目录中。截图(来自:Malvuln网站)JohnPage还推荐了一种分层策略,比如将其放在包含重要数据的网络共享上。由于在勒索软件访问它们之前不会调用动态链接库,因此这可以忽略绕过防病毒软件保护的勒索软件活动。遗憾的是,DLL反劫持例程仅适用于MicrosoftWindows操作系统,无法轻松复制到Mac、Linux或Android平台。此外,它只能尝试防止文件被勒索软件加密,而不能阻止受害者访问系统和泄露数据。
