[原创]勒索软件终结者------可真正防住已知与未知的勒索软件（勒索病毒）-安全工具-看雪-安全社区|安全招聘|kanxue.com

[原创]勒索软件终结者------可真正防住已知与未知的勒索软件（勒索病毒）

发表于: 2017-2-7 13:42 19514

[原创]勒索软件终结者------可真正防住已知与未知的勒索软件（勒索病毒）

backspray

2017-2-7 13:42

19514

下载地址

最新版本为0808，已经修复了各种bug，相当稳定了

题外话：
在下载地址中你们可以看到功能视频演示视频（不要老看啊，服务器流量费很贵的，你们会把我看破产的），
还有我几乎收集了所有已发布的勒索软件解密工具，也都在里头。

勒索软件终结者是俺的业余作品。因为16年基本没啥好的单机游戏，我闲的蛋疼，就把它给写出来了。
从驱动写到应用层核心，再写到界面，在写到web前后端。特别是web，真心把我写残了。太恶心了。

但这个作品可以真正防住所有已知和未知的勒索软件（你们可以自己实测，没有防不住的），因此代码的时候心里感觉还是非常刺激的。

防住的前提是在你中勒索软件前必须先安装本软件，中招了以后想解密，那个是没戏啊，我也搞不定。
没有人能保证你被加密后能帮你解密，那条路是死路。

有人说这是款收费软件，我来解释一下这为什么不能算是一款收费软件。
终结者对勒索软件的防御和清除这两个模块在免费模式下都是可以用的，收费只在什么情况下存在，就是你装了本软件，然后中了勒索软件之后，需要通过终结者的文件备份系统来提取被加密的文件时才收费的。
那么没钱或不想交情怎么办？那就研究一下怎么添加各类陷阱文件，这样可以保证勒索软件在加密文件之前先加密到陷阱文件，然后触发清除程序清除了掉就好了，这样就不需要使用到备份系统来提取备份文件了呀。
很重要的是，这种模式，可以反过来倒逼用户提高安全意识，本质上等同于，想要不花钱吗？如果想的话，可以通过提高自己的安全意识来达到不花钱的目的。
而且，你想嘛？装了这软件之后，1万个用户中真正能中招的会有几个？一两个都不到吧？1两个都不到的用户当中，如果都有安全意识的话，懂得设置陷阱文件的话，哥一分钱都收不到。我的意思是。
真正需要收费的用户概率几乎可以忽略不记。所以，所以这个产品基本算是赔本买卖。妈蛋就当是做了一次好人了，唉。
因此那个收费页面，你们可以理解求捐助页面。我只不过想回点本而已啦（这个作品差不多把我年收入的1/3都坑进去了，俺现在都特么快饿死了好吗）。真想赚钱不会选择这么坑自己的模式好么，你们仔细想想是不是这个道理。

但是，话又说回来，叔凭一己之力能彻底解决掉一个安全细分领域中的恶心问题，这个是令我振奋的，以后在群里吹水才更有底气嘛，我已经在意淫想当年叔搞安全的时候……
唉，妈蛋啊，刚动这软件的时候我一直以为自己应该是个商人，万万没想到最后我居然选择了做个好人。擦。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・18

免费・0

支持

最新回复 (62) 1 2 3 ▶
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 2 楼我想说视频好像泄漏LZ的名字了 2017-2-7 14:11 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 3 楼仔细看了原理，是有道理……但是如果备份做好了……前面陷阱和检测没那么重要吧 2017-2-7 14:58 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 4 楼我录到第二视频防御视频是才发现的，但第一个已经录玩，从录很麻烦，想想还是算了 2017-2-7 15:33 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 5 楼需要考虑一种情况，就是如果被勒索软件加密文件非常多，有可能把备份磁盘占满，这个过程中间如果没有陷阱和检测系统在中间做中断处理的话，你的备份系统就可能崩溃，所以理解了吧 2017-2-7 15:35 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼也就欺负一下不加载驱动的只加密文件的勒索软件... 某款加载驱动的，直接加密的不要不要的。另外，加密MTF表，MBR的某些勒索软件比如GoldenEye，也没防住... PS一句：界面比 https://github.com/DecryptoniteTeam/Decryptonite 友好多了，可惜人家开源。 2017-2-7 15:40 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 7 楼 32位的系统驱动谁都可以插，这个真没招，我这就去拿GoldenEye样本测一下，另外多谢指点 2017-2-7 16:16 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 8 楼吓我一跳，我刚刚拿了GoldenEye样本测了一下，防的住啊。你说防不住的原因是不是装了完以后直接就把GoldenEye扔进去跑了啊？安装完以后需要重启一下，然后才能打开mbr保护功能，引导区保护是通过磁盘过滤驱动实现的，磁盘过滤驱动要加载必须重启才能加载，无法动态加载的啊。 2017-2-7 16:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼汗...重启要提示一下啊没有用过需要重启的。毕竟有很多机器一辈子不重启啊 2017-2-7 18:16 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 10 楼全能神啊。。。。 2017-2-7 18:41 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 11 楼我只能说。厉害了我的哥。。。无fuck可说，支持！！！ 2017-2-7 19:59 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 12 楼看了视频后在来膜拜一次。。。666 2017-2-7 20:07 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 13 楼多谢提议，俺下个版本就去加个提示框，谢啦 2017-2-7 22:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 14 楼磁盘过滤可以动态的说...不过不能是标准过滤说一句，如果不需要过滤文件系统对磁盘的操作的话，直接Attach一个Filter上去是可以过滤到其他程序对磁盘的直接操作的——文件系统本身初始化后，Attach到磁盘设备上不好用，但是不影响后面其他程序磁盘操作的过滤... PS: 有处理IOCTL_SCSI_PASS_THROUGH_DIRECT么？没测试你有木有处理这个 2017-2-8 11:02 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 15 楼要让比较多的人使用的话，加载方式肯定倾向于尽可能不作死而使用标准加载啊， IOCTL_SCSI_PASS_THROUGH_DIRECT 暂时还防不住，正在改，欢迎V校多多鞭策哈 2017-2-8 13:07 0
haojunzhao 雪币： 27 活跃值： (491) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 16 楼持续关注中，希望越来越强大 2017-2-8 16:21 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 17 楼已发新版了，可以挡得住IOCTL_SCSI_PASS_THROUGH_DIRECT 而且保护MBR也无需重启了。非常非常谢谢你，求多多鞭挞。 2017-2-12 23:18 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 18 楼 Thanks... 2017-2-13 09:58 0
erebusx 雪币： 2 活跃值： (1718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 0 关注私信	erebusx 19 楼看上去很强大，想下载来试用的，但是...下载链接呢？“下载地址”点了之后回到帖子了 2017-2-22 10:30 0
真难取雪币： 112 活跃值： (1531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 257 粉丝 3 关注私信	真难取 20 楼其实利用好Windows现有各项功能，比如UAC、UWF、BCD、高级防火墙、NTFS与注册表访问控制，不需要第三方软件就能防御了。另外，PrimoCache开启保护分区后是无法绕过的，你这个防御机制似乎不是很科学。 2017-2-22 16:42 0
theendone 雪币： 270 活跃值： (117) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 239 粉丝 0 关注私信	theendone 21 楼 HOHO，下载地址怎么转回本帖了呢？感谢楼主 2017-3-2 13:29 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 22 楼防mbr的勒索者病毒，其实很简单的啊！开启UEFI功能就行，使用EFI格式分区表就行，这时启动时系统是直接无视MBR的！我试过了，开启UEFI，并且使用EFI分区格式的话，安装在引导区上的额外的启动器根本就没有启动，安装无数遍耶没用，但是使用MBR引导的话（EFI格式分区表是兼容MBR格式的），MBR的启动器就启动了！ 2017-3-9 17:07 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 23 楼你的这个嘛！工作原理简单来说就像还原精灵一样，安装过滤驱动，备份重要文件，和过滤掉一切不必要的东西！ 2017-3-9 17:10 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 24 楼不过，按我的想法是，要防止这些病毒，最重要的还是自己，比如自己经常备份重要资料，不浏览一些非主流网站，不下载一切不安全的东西，怀疑东西不安全的就果断网吧下，下完之后确认安全了，再用网盘缓存！密码尽量用复杂的！电脑的话，就尽量别使用管理员权限，要尽量使用用户权限就行，手机的话，就尽量别ROOT（越狱），使用一些靠谱的杀毒和防火墙，在杀毒弹出提示时，别犹豫，果断杀，要是一直弹出的话，别犹豫，马上拔电源，带上硬盘，找另一台机器来干掉病毒，并且恢复数据！ 2017-3-9 17:20 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 25 楼不过楼主，你的软件还是不错的啊！很久不做内核了！看着大家高手辈出，我是汗颜啊！ 2017-3-9 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

backspray

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (62) 1 2 3 ▶
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 2 楼我想说视频好像泄漏LZ的名字了 2017-2-7 14:11 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 3 楼仔细看了原理，是有道理……但是如果备份做好了……前面陷阱和检测没那么重要吧 2017-2-7 14:58 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 4 楼我录到第二视频防御视频是才发现的，但第一个已经录玩，从录很麻烦，想想还是算了 2017-2-7 15:33 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 5 楼需要考虑一种情况，就是如果被勒索软件加密文件非常多，有可能把备份磁盘占满，这个过程中间如果没有陷阱和检测系统在中间做中断处理的话，你的备份系统就可能崩溃，所以理解了吧 2017-2-7 15:35 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼也就欺负一下不加载驱动的只加密文件的勒索软件... 某款加载驱动的，直接加密的不要不要的。另外，加密MTF表，MBR的某些勒索软件比如GoldenEye，也没防住... PS一句：界面比 https://github.com/DecryptoniteTeam/Decryptonite 友好多了，可惜人家开源。 2017-2-7 15:40 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 7 楼 32位的系统驱动谁都可以插，这个真没招，我这就去拿GoldenEye样本测一下，另外多谢指点 2017-2-7 16:16 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 8 楼吓我一跳，我刚刚拿了GoldenEye样本测了一下，防的住啊。你说防不住的原因是不是装了完以后直接就把GoldenEye扔进去跑了啊？安装完以后需要重启一下，然后才能打开mbr保护功能，引导区保护是通过磁盘过滤驱动实现的，磁盘过滤驱动要加载必须重启才能加载，无法动态加载的啊。 2017-2-7 16:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 9 楼汗...重启要提示一下啊没有用过需要重启的。毕竟有很多机器一辈子不重启啊 2017-2-7 18:16 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 10 楼全能神啊。。。。 2017-2-7 18:41 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 11 楼我只能说。厉害了我的哥。。。无fuck可说，支持！！！ 2017-2-7 19:59 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 12 楼看了视频后在来膜拜一次。。。666 2017-2-7 20:07 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 13 楼多谢提议，俺下个版本就去加个提示框，谢啦 2017-2-7 22:59 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 14 楼磁盘过滤可以动态的说...不过不能是标准过滤说一句，如果不需要过滤文件系统对磁盘的操作的话，直接Attach一个Filter上去是可以过滤到其他程序对磁盘的直接操作的——文件系统本身初始化后，Attach到磁盘设备上不好用，但是不影响后面其他程序磁盘操作的过滤... PS: 有处理IOCTL_SCSI_PASS_THROUGH_DIRECT么？没测试你有木有处理这个 2017-2-8 11:02 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 15 楼要让比较多的人使用的话，加载方式肯定倾向于尽可能不作死而使用标准加载啊， IOCTL_SCSI_PASS_THROUGH_DIRECT 暂时还防不住，正在改，欢迎V校多多鞭策哈 2017-2-8 13:07 0
haojunzhao 雪币： 27 活跃值： (491) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 1 关注私信	haojunzhao 16 楼持续关注中，希望越来越强大 2017-2-8 16:21 0
backspray 雪币： 579 活跃值： (659) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 66 粉丝 10 关注私信	backspray 17 楼已发新版了，可以挡得住IOCTL_SCSI_PASS_THROUGH_DIRECT 而且保护MBR也无需重启了。非常非常谢谢你，求多多鞭挞。 2017-2-12 23:18 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 18 楼 Thanks... 2017-2-13 09:58 0
erebusx 雪币： 2 活跃值： (1718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 10 粉丝 0 关注私信	erebusx 19 楼看上去很强大，想下载来试用的，但是...下载链接呢？“下载地址”点了之后回到帖子了 2017-2-22 10:30 0
真难取雪币： 112 活跃值： (1531) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 257 粉丝 3 关注私信	真难取 20 楼其实利用好Windows现有各项功能，比如UAC、UWF、BCD、高级防火墙、NTFS与注册表访问控制，不需要第三方软件就能防御了。另外，PrimoCache开启保护分区后是无法绕过的，你这个防御机制似乎不是很科学。 2017-2-22 16:42 0
theendone 雪币： 270 活跃值： (117) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 239 粉丝 0 关注私信	theendone 21 楼 HOHO，下载地址怎么转回本帖了呢？感谢楼主 2017-3-2 13:29 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 22 楼防mbr的勒索者病毒，其实很简单的啊！开启UEFI功能就行，使用EFI格式分区表就行，这时启动时系统是直接无视MBR的！我试过了，开启UEFI，并且使用EFI分区格式的话，安装在引导区上的额外的启动器根本就没有启动，安装无数遍耶没用，但是使用MBR引导的话（EFI格式分区表是兼容MBR格式的），MBR的启动器就启动了！ 2017-3-9 17:07 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 23 楼你的这个嘛！工作原理简单来说就像还原精灵一样，安装过滤驱动，备份重要文件，和过滤掉一切不必要的东西！ 2017-3-9 17:10 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 24 楼不过，按我的想法是，要防止这些病毒，最重要的还是自己，比如自己经常备份重要资料，不浏览一些非主流网站，不下载一切不安全的东西，怀疑东西不安全的就果断网吧下，下完之后确认安全了，再用网盘缓存！密码尽量用复杂的！电脑的话，就尽量别使用管理员权限，要尽量使用用户权限就行，手机的话，就尽量别ROOT（越狱），使用一些靠谱的杀毒和防火墙，在杀毒弹出提示时，别犹豫，果断杀，要是一直弹出的话，别犹豫，马上拔电源，带上硬盘，找另一台机器来干掉病毒，并且恢复数据！ 2017-3-9 17:20 0
czcqq 雪币： 350 活跃值： (87) 能力值： ( LV7，RANK：110 ) 在线值：发帖 6 回帖 295 粉丝 3 关注私信	czcqq 2 25 楼不过楼主，你的软件还是不错的啊！很久不做内核了！看着大家高手辈出，我是汗颜啊！ 2017-3-9 17:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复