[原创]勒索软件终结者------可真正防住已知与未知的勒索软件(勒索病毒)

backspray 2017-2-7 13:42 8271



下载地址

最新版本为0808,已经修复了各种bug,相当稳定了

题外话:
在下载地址中你们可以看到功能视频演示视频(不要老看啊,服务器流量费很贵的,你们会把我看破产的),
还有我几乎收集了所有已发布的勒索软件解密工具,也都在里头。

勒索软件终结者是俺的业余作品。因为16年基本没啥好的单机游戏,我闲的蛋疼,就把它给写出来了。
从驱动写到应用层核心,再写到界面,在写到web前后端。特别是web,真心把我写残了。太恶心了。

但这个作品可以真正防住所有已知和未知的勒索软件(你们可以自己实测,没有防不住的),因此代码的时候心里感觉还是非常刺激的。

防住的前提是在你中勒索软件前必须先安装本软件,中招了以后想解密,那个是没戏啊,我也搞不定。
没有人能保证你被加密后能帮你解密,那条路是死路。

有人说这是款收费软件,我来解释一下这为什么不能算是一款收费软件。
终结者对勒索软件的防御和清除这两个模块在免费模式下都是可以用的,收费只在什么情况下存在,就是你装了本软件,然后中了勒索软件之后,需要通过终结者的文件备份系统来提取被加密的文件时才收费的。
那么没钱或不想交情怎么办?那就研究一下怎么添加各类陷阱文件,这样可以保证勒索软件在加密文件之前先加密到陷阱文件,然后触发清除程序清除了掉就好了,这样就不需要使用到备份系统来提取备份文件了呀。
很重要的是,这种模式,可以反过来倒逼用户提高安全意识,本质上等同于,想要不花钱吗?如果想的话,可以通过提高自己的安全意识来达到不花钱的目的。
而且,你想嘛?装了这软件之后,1万个用户中真正能中招的会有几个?一两个都不到吧?1两个都不到的用户当中,如果都有安全意识的话,懂得设置陷阱文件的话,哥一分钱都收不到。我的意思是。
真正需要收费的用户概率几乎可以忽略不记。所以,所以这个产品基本算是赔本买卖。妈蛋就当是做了一次好人了,唉。
因此那个收费页面,你们可以理解求捐助页面。我只不过想回点本而已啦(这个作品差不多把我年收入的1/3都坑进去了,俺现在都特么快饿死了好吗)。真想赚钱不会选择这么坑自己的模式好么,你们仔细想想是不是这个道理。

但是,话又说回来,叔凭一己之力能彻底解决掉一个安全细分领域中的恶心问题,这个是令我振奋的,以后在群里吹水才更有底气嘛,我已经在意淫想当年叔搞安全的时候……
唉,妈蛋啊,刚动这软件的时候我一直以为自己应该是个商人,万万没想到最后我居然选择了做个好人。擦。

最新回复 (46)
7
evilkis 2017-2-7 14:11
2
我想说 视频好像泄漏LZ的名字了
天涯一鸿 2017-2-7 14:58
3
仔细看了原理,是有道理……但是如果备份做好了……前面陷阱和检测没那么重要吧
backspray 2017-2-7 15:33
4
我录到第二视频防御视频是才发现的,但第一个已经录玩,从录很麻烦,想想还是算了
backspray 2017-2-7 15:35
5
需要考虑一种情况,就是如果被勒索软件加密文件非常多,有可能把备份磁盘占满,这个过程中间如果没有陷阱和检测系统在中间做中断处理的话,你的备份系统就可能崩溃,所以理解了吧
10
cvcvxk 2017-2-7 15:40
6
也就欺负一下不加载驱动的只加密文件的勒索软件...
某款加载驱动的,直接加密的不要不要的。
另外,加密MTF表,MBR的某些勒索软件比如GoldenEye,也没防住...

PS一句:
界面比
https://github.com/DecryptoniteTeam/Decryptonite
友好多了,可惜人家开源。
backspray 2017-2-7 16:16
7
32位的系统驱动谁都可以插,这个真没招,
我这就去拿GoldenEye样本测一下,另外多谢指点
backspray 2017-2-7 16:59
8
吓我一跳,我刚刚拿了GoldenEye样本测了一下,防的住啊。
你说防不住的原因是不是装了完以后直接就把GoldenEye扔进去跑了啊?
安装完以后需要重启一下,然后才能打开mbr保护功能,引导区保护是通过磁盘过滤驱动实现的,
磁盘过滤驱动要加载必须重启才能加载,无法动态加载的啊。
10
cvcvxk 2017-2-7 18:16
9
汗...重启要提示一下啊

没有用过需要重启的。毕竟有很多机器一辈子不重启啊
2
地狱怪客 2017-2-7 18:41
10
全能神啊。。。。
gmhzxy 2017-2-7 19:59
11
我只能说。厉害了我的哥。。。 无fuck可说,支持!!!
gmhzxy 2017-2-7 20:07
12
看了视频后在来膜拜一次。。。666
backspray 2017-2-7 22:59
13
多谢提议,俺下个版本就去加个提示框,谢啦
10
cvcvxk 2017-2-8 11:02
14
磁盘过滤可以动态的说...不过不能是标准过滤

说一句,如果不需要过滤文件系统对磁盘的操作的话,直接Attach一个Filter上去是可以过滤到其他程序对磁盘的直接操作的——文件系统本身初始化后,Attach到磁盘设备上不好用,但是不影响后面其他程序磁盘操作的过滤...

PS:
有处理IOCTL_SCSI_PASS_THROUGH_DIRECT么?
没测试你有木有处理这个
backspray 2017-2-8 13:07
15
要让比较多的人使用的话,加载方式肯定倾向于尽可能不作死而使用标准加载啊,
IOCTL_SCSI_PASS_THROUGH_DIRECT 暂时还防不住,正在改, 欢迎V校多多鞭策哈
haojunzhao 2017-2-8 16:21
16
持续关注中,希望越来越强大
backspray 2017-2-12 23:18
17
已发新版了,可以挡得住IOCTL_SCSI_PASS_THROUGH_DIRECT
而且保护MBR也无需重启了。
非常非常谢谢你,求多多鞭挞。
linhanshi 2017-2-13 09:58
18
Thanks...
erebusx 2017-2-22 10:30
19
看上去很强大,想下载来试用的,但是...下载链接呢?“下载地址”点了之后回到帖子了
真难取 2017-2-22 16:42
20
其实利用好Windows现有各项功能,比如UAC、UWF、BCD、高级防火墙、NTFS与注册表访问控制,不需要第三方软件就能防御了。
另外,PrimoCache开启保护分区后是无法绕过的,你这个防御机制似乎不是很科学。
theendone 2017-3-2 13:29
21
HOHO,下载地址怎么转回本帖了呢?感谢楼主
2
czcqq 2017-3-9 17:07
22
防mbr的勒索者病毒,其实很简单的啊!开启UEFI功能就行,使用EFI格式分区表就行,这时启动时系统是直接无视MBR的!我试过了,开启UEFI,并且使用EFI分区格式的话,安装在引导区上的额外的启动器根本就没有启动,安装无数遍耶没用,但是使用MBR引导的话(EFI格式分区表是兼容MBR格式的),MBR的启动器就启动了!
2
czcqq 2017-3-9 17:10
23
你的这个嘛!工作原理简单来说就像还原精灵一样,安装过滤驱动,备份重要文件,和过滤掉一切不必要的东西!
2
czcqq 2017-3-9 17:20
24
不过,按我的想法是,要防止这些病毒,最重要的还是自己,比如自己经常备份重要资料,不浏览一些非主流网站,不下载一切不安全的东西,怀疑东西不安全的就果断网吧下,下完之后确认安全了,再用网盘缓存!密码尽量用复杂的!电脑的话,就尽量别使用管理员权限,要尽量使用用户权限就行,手机的话,就尽量别ROOT(越狱),使用一些靠谱的杀毒和防火墙,在杀毒弹出提示时,别犹豫,果断杀,要是一直弹出的话,别犹豫,马上拔电源,带上硬盘,找另一台机器来干掉病毒,并且恢复数据!
2
czcqq 2017-3-9 17:21
25
不过楼主,你的软件还是不错的啊!很久不做内核了!看着大家高手辈出,我是汗颜啊!
2
czcqq 2017-3-9 17:22
26
真难取 其实利用好Windows现有各项功能,比如UAC、UWF、BCD、高级防火墙、NTFS与注册表访问控制,不需要第三方软件就能防御了。 另外,PrimoCache开启保护分区后是无法绕过的,你这个防御 ...
我就是用这个办法防病毒,而且裸奔的!
风影云隐 2017-3-17 19:24
27
666,感谢楼主
zaoyapin 2017-4-2 18:07
28
我支持你
宸不知而情深 2017-4-3 20:12
29
czcqq 我就是用这个办法防病毒,而且裸奔的!
在我看来,微软是家大公司。如果是漏洞,他自己会修复我只需要更新就行。利用好windows本身的防御机制就可以搞定了!
曦云 2017-4-13 22:35
30
从来没中过。这个原理是什么。检测软件运行时的锁机命令吗
ADMΙN 2017-5-13 14:36
31
兄弟,今天过后你这个产品应该发财了吧!
lazyboybt 2017-5-13 17:06
32
这个可以预防“永恒之蓝”吗?
backspray 2017-5-14 19:10
33
lazyboybt 这个可以预防“永恒之蓝”吗?
keyi
wyfe 2017-5-14 20:09
34
backspray keyi
这么牛呀!有超前意识,现在有多少用户了?
Jusa 2017-5-17 09:31
35
膜拜一下。
xingbing 2017-6-5 23:22
36
持续关注中,希望越来越强大  !
天涯一鸿 2017-7-3 15:14
37
老哥,我用了一段时间……在全默认的设置下……我的D盘150G的总容量,一直跟我说存储不足……,删了很多东西清了十几个G出来,两天不到又一直报警,最后0容量了……我百思不得其解,各种找不到哪里用的……然后把你的软件卸载之后D盘直接多了100G空间……不知道是默认设置的问题还是什么问题……我没仔细看,吓尿了……
天涯一鸿 2017-7-3 15:20
38
真难取 其实利用好Windows现有各项功能,比如UAC、UWF、BCD、高级防火墙、NTFS与注册表访问控制,不需要第三方软件就能防御了。 另外,PrimoCache开启保护分区后是无法绕过的,你这个防御 ...
嗨……内核远程溢出漏洞有什么不能绕过的……是这个勒索软件不给力罢了……
1
瞧红尘 2017-7-6 08:44
39
问一句是怎么分辨正常软件写文件和勒索病毒写文件的?
看雪vip用户 2017-7-29 14:47
40
无fuck可说,支持!
wx_䒭妮 2017-8-5 23:08
41
无fuck可说,支持
izisak 2017-8-16 19:30
42
下载使用,感谢分享
fadax 2017-8-27 17:18
43
下载地址在哪啊
任飞guan 2017-9-11 14:19
44
谢谢分享、、、
SPL 2017-9-27 16:15
45
支持一个~
破解谜 2017-10-6 01:37
46
有意思啊,有空就下载试效果
ldkvfeng 2017-10-7 09:32
47
请问容量问题解决了吗  是用作备份了吗
返回