雷鋒網(wǎng)消息，5月19日，在 WannaCry 勒索蠕蟲事件爆發(fā)一周后，瑞星公司在北京召開了一個預(yù)防勒索病毒的工具——“瑞星之劍”產(chǎn)品發(fā)布會。

據(jù)瑞星新聞發(fā)言人唐威介紹，傳統(tǒng)安全軟件應(yīng)對勒索病毒主要采取“截獲樣本”--“分析處理”--“升級更新”的方式，這種模式會給勒索病毒的傳播和破壞帶來一個“空窗期”，因此瑞星該軟件采用了“智能誘餌”“基于機(jī)器學(xué)習(xí)的文件格式判定規(guī)則”和“智能勒索代碼行為監(jiān)測”技術(shù)，用來阻止已知勒索病毒，防御未知勒索病毒破壞文件。

唐威闡釋了上一技術(shù)：“瑞星之劍”收納了70多個勒索軟件家族的樣本，通過對數(shù)萬個勒索病毒進(jìn)行機(jī)器分析后，基于特有的算法，抽離出上述病毒的行為點，再進(jìn)行交叉分析，發(fā)現(xiàn)很多勒索病毒存在共性，基于這些共性，制定了一個規(guī)則集合庫，用這些規(guī)則來判斷當(dāng)前病毒是否是可疑的勒索軟件病毒，如果是，就阻斷該病毒的破壞行為，實現(xiàn)防御。

在發(fā)布會現(xiàn)場，瑞星的兩位安全人員演示了“瑞星之劍”的防護(hù)效果，他們先在未開啟“瑞星之劍”的情況下，展現(xiàn)了 WannaCry 運(yùn)行后對計算機(jī)文件迅速加密的情景，然后又復(fù)現(xiàn)了在啟用上述安全工具下，有效抵御 WannaCry 并在電腦上“預(yù)警”的場景。上述瑞星安全人員稱，在他們的測試中，目前“瑞星之劍”亦可抵御WannaCry 的多個變種。

雷鋒網(wǎng)還了解到，最近，已有多家公司和機(jī)構(gòu)發(fā)現(xiàn)新勒索病毒 UIWIX 同樣通過“永恒之藍(lán)”漏洞(MS17-010)傳播，因此 UIWIX 也被一些人稱為WannaCry 的變種。在趨勢科技的一份資料中，曾稱 UIWIX有一項中斷異常，如果該變種發(fā)現(xiàn)自己在俄羅斯、白俄羅斯或哈薩克斯坦運(yùn)行，則會自行終止。

這意味著該變種為俄羅斯黑客編寫？還是懼怕卡巴斯基的威力？還是其他作者嫁禍給俄羅斯黑客？雷鋒網(wǎng)就這一問題詢問了瑞星的看法。

唐威稱：“  我們也發(fā)現(xiàn)過某一版本的勒索病毒有一些地域性識別特征，比如，我們當(dāng)初發(fā)現(xiàn)過一個版本，確實會針對俄語區(qū)或者俄羅斯語言的 Windows系統(tǒng)，它會先檢測運(yùn)行地區(qū)，如果是俄羅斯地區(qū)就會停止安裝，通過這個特性，我們仔細(xì)分析過病毒的代碼，發(fā)現(xiàn)這個版本的病毒很有可能是俄羅斯的黑客所編寫，因為該作者很多代碼的開發(fā)特征為俄羅斯黑客普遍采用，他使用的源碼是俄羅斯論壇中經(jīng)常分享的一些東西，所以我印象非常深刻，可以判斷那款病毒源自俄羅斯。您剛才提到的那款病毒，也不排除有這種可能性。”

最后，唐威再次提醒，針對勒索軟件， “事后補(bǔ)漏”不如“提前防御”。

［現(xiàn)場演示計算機(jī)“裸機(jī)”被 WannaCry勒索蠕蟲入侵］

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。