盡管惡意軟件開發(fā)者擅長利用各種軟硬件漏洞來達成目的，但他們散播的成品也并非毫無破綻。比如近日，安全研究人員 John Page(又名 hyp3rlinx)就介紹了一招反制勒索軟件的新套路。由個人網(wǎng)站和 Twitter 賬號上發(fā)布的內(nèi)容可知，John Page 專精于找到惡意軟件本身的漏洞，并于近日分享了阻止勒索軟件加密受害者文件的方法。

視頻截圖(來自：malvuln / YouTube)

據(jù)悉，許多勒索軟件都會被 DLL 劫持所影響。通常攻擊者會利用這種動態(tài)鏈接庫來誘騙程序加載，以運行他們預期中的惡意代碼。

但轉念一想，你也大可合理利用該技術來“反劫持”并阻止某些類型的勒索軟件。

John Page 在網(wǎng)站上分享了針對 REvil、Wannacry、Conti 等最新版惡意軟件的漏洞和自定義 DLL 的詳情。

可知要順利解套，DLL 需在攻擊者可能放置惡意軟件的潛在目錄中守株待兔。

截圖(來自：Malvuln 網(wǎng)站)

John Page 還建議采用分層策略，比如將之放在包含重要數(shù)據(jù)的網(wǎng)絡共享上。

由于動態(tài)鏈接庫不會在勒索軟件訪問它們之前被調(diào)用，因而此舉可無視繞過反病毒軟件防護的勒索軟件活動。

遺憾的是，DLL 反劫持套路只適用于微軟 Windows 操作系統(tǒng)，而無法輕松照搬到 Mac、Linux 或 Android 平臺上。

此外它只能嘗試避免被勒索軟件加密文件，而不能阻止被攻擊者訪問系統(tǒng)和泄露數(shù)據(jù)。