是否可以创建一种针对加密的蜜罐?就像在像cryptolocker这样的恶意程序之前完成大量数据丢失并阻止它一样?这样的脚本会是什么样子?
我尝试在谷歌上闲逛,并发现了一些讨论。关键是在通常首先受到攻击的目录中创建一个文件(如回收站),如果它被某个程序或用户修改,他们会立即被拒绝访问任何其他文件。
现在我知道这是一个广泛的问题,但我很难收集有用的信息,并希望得到直接的答案或有用的文章。我什至找到了一种通过使用 API 钩子绕过勒索软件的方法,尽管这对我来说是一个更困难的话题。
我将继续自己研究这个问题,但一切都有帮助。
谢谢。
我会从这里开始 https://www.honeynet.org/project,可能会考虑监控处理加密的Windows API,将有效调用列入白名单,并强制用户确认可能是恶意的调用。
要保护网络共享,请执行以下操作:
我已经在网络上设置了蜜罐共享,可以对其进行监视,以便及早发现受感染的机器,并在它达到关键问题之前为我争取一些时间。 命名蜜罐共享,以便将它们枚举到列表顶部("AAAAAAAAAAAA","AAAAAAAAB"等)。 然后用 1,000 个 1MB PDF 文件填充它们。 授予"所有人"组完全控制权,以确保恶意软件从那里开始。
当然,最好的保护是确保正确应用共享的权限,但这并不能阻止来自已具有权限的用户帐户的攻击。
干杯
有一些解密器需要文件的未加密版本才能尝试密钥恢复。我想知道您是否可以将一个有用的文件放在加密路径中,并在需要时将文件的副本脱机保存。然后使用它来恢复密钥。这是对问题和解决方案的看法是否过于简单化?