[转载]巧用火绒自定义规则，加强勒索诱捕功能 [ V1.0 ]

yunuo888

我们知道，火绒的HIPS可以自定义，那么我们可以根据这一个功能自制勒索诱饵文件，一起来看看吧！
首先我们需要从自己的文档里选择几个文件作为勒索诱饵文件（要求：文件类型齐全，单个文件不要太大）。把这个勒索诱饵文件装在一个文件夹里，放在每个盘的根目录下、桌面、文档视频音乐等文件夹里。
然后要做的就是用火绒安装规则了，如下图：

如上示例图，勒索诱饵文档放在C盘的根目录下，并把“创建”“修改”这两项打上勾，勒索病毒加密的原理就是将加密后的文件覆盖在原文件上，就会被我们的自定义规则拦截（”创建“操作）。
为了防御一些不改后缀的勒索病毒来说，把“修改”这一个勾打上会更好！当发现有疑似程序触发规则时，结束进程即可！
那么到这里有些人就问了，为什么不用火绒默认的诱饵呢？
答：火绒的默认诱饵有很多缺点：
1，只把诱饵文件放在C盘的根目录下，对于从最后一个盘符开始加密的勒索病毒几乎无防御能力。（其他盘的都加密完了火绒的恶意行为监控才拦截，有什么用呢？）
2，有些勒索病毒只加密桌面，或“我的文档“文件夹等，不会加密火绒的勒索诱饵文件，那么火绒的勒索诱捕就不起作用 。
3，火绒的诱饵文件对不改后缀的勒索病毒没有防御能力，ADV主防也无法识别。
4，火绒的勒索诱饵文档的修改日期是同一时间，这就有很多弊端。有些“智能”勒索会自动检查，当一个目录下的文件的修改日期如果全部一样的话，就不会加密这个       目录下的文件（不包括子目录），这样就可以很好的把火绒勒索诱饵绕过。
5，火绒的勒索诱饵文件所在文件夹是隐藏的，有些勒索病毒不加密隐藏文件夹中的文件（包括子目录）
而我们的加强的“自制勒索诱饵文件“就可以弥补火绒勒索诱饵的弊端，可以起到更好的防勒索作用！