雷鋒網(wǎng)消息，5月19日，在 WannaCry 勒索蠕蟲事件爆發(fā)一周后，瑞星公司在北京召開了一個(gè)預(yù)防勒索病毒的工具——“瑞星之劍”產(chǎn)品發(fā)布會(huì)。

據(jù)瑞星新聞發(fā)言人唐威介紹，傳統(tǒng)安全軟件應(yīng)對(duì)勒索病毒主要采取“截獲樣本”--“分析處理”--“升級(jí)更新”的方式，這種模式會(huì)給勒索病毒的傳播和破壞帶來一個(gè)“空窗期”，因此瑞星該軟件采用了“智能誘餌”“基于機(jī)器學(xué)習(xí)的文件格式判定規(guī)則”和“智能勒索代碼行為監(jiān)測(cè)”技術(shù)，用來阻止已知勒索病毒，防御未知勒索病毒破壞文件。

唐威闡釋了上一技術(shù)：“瑞星之劍”收納了70多個(gè)勒索軟件家族的樣本，通過對(duì)數(shù)萬個(gè)勒索病毒進(jìn)行機(jī)器分析后，基于特有的算法，抽離出上述病毒的行為點(diǎn)，再進(jìn)行交叉分析，發(fā)現(xiàn)很多勒索病毒存在共性，基于這些共性，制定了一個(gè)規(guī)則集合庫(kù)，用這些規(guī)則來判斷當(dāng)前病毒是否是可疑的勒索軟件病毒，如果是，就阻斷該病毒的破壞行為，實(shí)現(xiàn)防御。

在發(fā)布會(huì)現(xiàn)場(chǎng)，瑞星的兩位安全人員演示了“瑞星之劍”的防護(hù)效果，他們先在未開啟“瑞星之劍”的情況下，展現(xiàn)了 WannaCry 運(yùn)行后對(duì)計(jì)算機(jī)文件迅速加密的情景，然后又復(fù)現(xiàn)了在啟用上述安全工具下，有效抵御 WannaCry 并在電腦上“預(yù)警”的場(chǎng)景。上述瑞星安全人員稱，在他們的測(cè)試中，目前“瑞星之劍”亦可抵御WannaCry 的多個(gè)變種。

雷鋒網(wǎng)還了解到，最近，已有多家公司和機(jī)構(gòu)發(fā)現(xiàn)新勒索病毒 UIWIX 同樣通過“永恒之藍(lán)”漏洞(MS17-010)傳播，因此 UIWIX 也被一些人稱為WannaCry 的變種。在趨勢(shì)科技的一份資料中，曾稱 UIWIX有一項(xiàng)中斷異常，如果該變種發(fā)現(xiàn)自己在俄羅斯、白俄羅斯或哈薩克斯坦運(yùn)行，則會(huì)自行終止。

這意味著該變種為俄羅斯黑客編寫？還是懼怕卡巴斯基的威力？還是其他作者嫁禍給俄羅斯黑客？雷鋒網(wǎng)就這一問題詢問了瑞星的看法。

唐威稱：“  我們也發(fā)現(xiàn)過某一版本的勒索病毒有一些地域性識(shí)別特征，比如，我們當(dāng)初發(fā)現(xiàn)過一個(gè)版本，確實(shí)會(huì)針對(duì)俄語區(qū)或者俄羅斯語言的 Windows系統(tǒng)，它會(huì)先檢測(cè)運(yùn)行地區(qū)，如果是俄羅斯地區(qū)就會(huì)停止安裝，通過這個(gè)特性，我們仔細(xì)分析過病毒的代碼，發(fā)現(xiàn)這個(gè)版本的病毒很有可能是俄羅斯的黑客所編寫，因?yàn)樵撟髡吆芏啻a的開發(fā)特征為俄羅斯黑客普遍采用，他使用的源碼是俄羅斯論壇中經(jīng)常分享的一些東西，所以我印象非常深刻，可以判斷那款病毒源自俄羅斯。您剛才提到的那款病毒，也不排除有這種可能性?！?/p>

最后，唐威再次提醒，針對(duì)勒索軟件， “事后補(bǔ)漏”不如“提前防御”。

［現(xiàn)場(chǎng)演示計(jì)算機(jī)“裸機(jī)”被 WannaCry勒索蠕蟲入侵］

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。