1. 瑞星之劍.

只能怪自己消息太過閉塞, 這工具出了兩三天了, 好像瑞星還在大肆宣傳其防禦效果。於是好奇下載下來分析下。界面如下：

就是一個簡單的EXE文件, 運行會釋放一個dll和兩個驅動文件.然後將驅動文件拖入IDA分析. 實現如下：

使用minifilter過濾文件io操作.IRP_MJ_CRATE，IRP_MJ_WRITE, IRP_MJ_SET_INFORMATION. 當有進程試圖去寫入 或者重命名 瑞星事先在指定目錄釋放的一些陷阱文件(jpg txt doc)則就會彈窗提示發現敲詐者病毒。

也就是軟件運行時會在指定的一些桌面 或者文檔目錄釋放瑞星自己準備的文件， 當發現有進程去寫入 重命名這些可疑操作時候就會提示發現敲詐者病毒.

總結：

原理就是釋放陷阱文件等待病毒去操作這些文件. 但是這種防禦效果甚微。即便真的發現, 系統也是有一部分文件已經感染或者加密。況且還不是所有的目錄都釋放陷阱文件, 所以局限性很大。比如病毒就感染特定的目錄文檔文件，

但是恰巧該目錄下沒有陷阱文件則該軟件就監控不到病毒。 個人感覺 這個工具有用, 但是確實沒有他們宣傳的那麽神, 太過局限 防禦思想也落後。

2. 360 和電腦管家： 這兩家的防禦工具基本就是文件被刪除或者被修改的時候保存一下 前一時刻的副本. 以供用戶發現異常找回文件用.個人認為這種工具雖然沒有發現病毒的能力 但是確實在一方面減少了用戶的損失.

其實對於敲詐者病毒分防禦, 完全沒必要局限在病毒的操作手段, 而要跳出這個點, 在更高的緯度去思考如何防禦. 時下流行的防禦方式基本就是放置陷阱文件, 但是這種方式過於滯後, 太容易被破。

聊下最近出的一些wannacry勒索病毒防禦工具