实机KES10简单双击测试.SW/APC.勒索病毒

显示全部楼层 · 发表于 2016-1-31 19:40:41

本帖最后由 qftest 于 2016-1-31 19:40 编辑

楼主前两天被人形木马强制升级到win10。。。以下省略一万字

最近勒索病毒很猖獗，发个帖子纪念几个比较有代表性的分支样本（Ransom32/TeslaCrypt/LeChiffre/HELP_DECRYPT）

实机环境：
Win10x64 10586.71专业版（关闭SmartScreen）
Kaspersky Endpoint Security 10 for Windows SP1（SW/APC+关闭KSN）
每测试完一个样本就用PowerToolx64 1.9和Autoruns 11.7检查一次

===为了保证样本成功运行，全程戴套上网===

SW设置：

Ransom32：http://bbs.kafan.cn/thread-1933943-1-1.html

Ransom.TeslaCrypt：http://bbs.kafan.cn/thread-1936308-1-1.html

Ransom.HELP_DECRYPT：http://bbs.kafan.cn/thread-1960943-1-1.html

Ransom.LeChiffre：http://bbs.kafan.cn/thread-1936187-1-1.html

SW被过，未发现异常？

有数字签名的cryptowall 4.0：http://bbs.kafan.cn/thread-1960943-1-1.html

SW被过，被修改启动项+网页，未加密

木马服务器可能今天休息

其他几只新鲜的加密样本：
4ABF.tmp.exe：http://bbs.kafan.cn/thread-1936859-1-1.html

4894.tmp.exe：http://bbs.kafan.cn/thread-1960941-1-1.html

6897.tmp.exe：http://bbs.kafan.cn/thread-1936774-1-1.html

@墨家小子

花式注入神马的最稀饭勒~
TMPD2E1.tmp花式注入：http://bbs.kafan.cn/thread-1935532-1-1.html

这个样本比较特别，SW不断弹窗报警，哈哈，下面试一下纯APC的注入防御
因为测的是APC，为了防止被意外加密所以添加了保护规则，方法可以参考 https://support.kaspersky.com/10905#block1

APC设置：

APC直接检测出、自动归类为不信任组且不可调整：

下面手动将不信任组权限（包括受保护资源的访问权限）修改为与低限组一致，观察APC拦截注入的情况：

尽管拦截了6w+次的注入修改，但未在资源保护表中的文件仍然被加密了（如.txt文件），并且每个目录下都被创建了勒索信：

显示全部楼层 · 发表于 2016-2-1 20:21:23

本帖最后由 qftest 于 2016-2-3 11:22 编辑

QQ1014530747 发表于 2016-2-1 20:16
哎那个pdm你看到了吗，那个只要入库了他就能联动病毒库拦截根本没屁用的，这根本不能体现什么来着

怕了你们这些扫描党了

入库后报毒名是唯一的吧？SW与APC报毒名不一样你看到了吗？
看不懂就不要回复了好吧

TMPD2E1花式注入加密SW备注：

KSN+BSS报PDM:Trojan.Win32.Bazon.a

BSS报PDM:Trojan.Win32.Generic

显示全部楼层 · 发表于 2016-1-31 19:48:21

Ransom.LeChiffre和有数字签名的cryptowall 4.0，卡巴全杀

显示全部楼层 · 发表于 2016-1-31 19:57:19

本帖最后由 pal家族于 2016-1-31 20:00 编辑

额，如果加密前必须注入，不注入就没法加密的话，拦截到注入不就可以组织加密了吗？最后一个加密什么情况啊。为何拦截注入仍然可以加密呢？
规则创建好的文件没动我就放心了，看来hips规则并非花瓶。

很想知道有数字签名那个可以加密的话，卡巴会不会拦截。可能是因为木马没有后续动作才导致卡巴放过了加启动项？有注入行为吗？仅仅添加启动项不拦截还勉强可以理解。。。

显示全部楼层 · 发表于 2016-1-31 20:04:31

应用程序控制如果设置好，确实是对付勒索的不错手段，不错

显示全部楼层 · 发表于 2016-1-31 20:04:41

我就感觉卡巴看设置越来越厉害了

显示全部楼层 · 发表于 2016-1-31 20:06:38

dongwenqi 发表于 2016-1-31 19:48
Ransom.LeChiffre和有数字签名的cryptowall 4.0，卡巴全杀

人家特殊测试主防，你这样回复有什么意义呢？

显示全部楼层 · 发表于 2016-1-31 20:21:59

好像是卡巴企业版，不是我购买的版本哦。

显示全部楼层 · 发表于 2016-1-31 20:24:51

真麻烦啊，我大ESET不需要云拉黑不需要特征码不要主防，全天候全环境拦截注入，木马全都懵逼

还不如把样本拉到低限制组测试注入呢

我以前都是未知程序自动加入低限制组，然后像你那样修改限制
话说卡巴在Win10x64下也能拦截注入，很帅啊
……
目前还找不到媲美NIS+HMPA+SSF（去掉操作系统防护+防火墙）这样的组合，既能安装程序又能最大限度地防御信息泄露阻止数据篡改

显示全部楼层 · 发表于 2016-1-31 20:26:27

dongwenqi 发表于 2016-1-31 19:48
Ransom.LeChiffre和有数字签名的cryptowall 4.0，卡巴全杀

你知不知道你有点烦人了？

显示全部楼层 · 发表于 2016-1-31 20:27:29

pal家族发表于 2016-1-31 20:06
人家特殊测试主防，你这样回复有什么意义呢？

你们卡巴区也有这样的选手啊

[交流探讨] 实机KES10简单双击测试.SW/APC.勒索病毒

评分

评分

评分

评分

评分