本帖最后由 greenfinger168 于 2017-7-28 14:55 编辑
昨晚测试ESS HIPS狙击本论坛的新版比特币勒索病毒样本时失败
自己见识过ESS的HIPS功能的强大,有点不服气
经过仔细复盘,终于找到失败的原因了
其实不能怪ESS的HIPS,只能怪自己经验不足,没有用好
失败的原因: 1)HIPS自动模式(默认设置),对于保护自身不被病毒侵害还是很管用的 但对付未知病毒,如这次测试的勒索病毒,基本上没用 所以,在这个模式下测试,双击病毒,你见不到一点反应 等病毒运行结束,你才会发现文本文件和图片 甚至在本论坛下载的病毒样本(加密压缩包)都给加密 被加密的文本格式包括txt, word, pdf等 被加密图片格式我测试的情况是png格式全部加密,但奇怪的是JPEG格式得以幸免
2)开启HIPS手动模式(即交互模式) 我是第一次遇到和测试勒索病毒,没有经验,加之对ESS HIPS自定义规则也不是太熟 所以第一次没有判断出问题,点击了不该有的放行,结果阻止失败 吸取经验后再测,果然狙击成功!
下面给大家分享一下这个病毒的运作过程,你就知道该如何判断和狙击了
点击病毒,并放行
进程中多出一个与病毒同名的进程
同时释放出一个s.bat的批处理文件
尝试在C:\Program Files\7-Zip文件夹内留下勒索信iUNLOCK_guiDE.tXT
尝试加密readme.txt文件
尝试加密ACDSee Systems文件夹中的LicnseAgreement.rtf文件
加密成功的话,文件后缀变成:MyChemicalRomance4EVER
尝试删除原文件
到此为止,我们就应该可以判断出这是个勒索病毒 如果一直放行的话,它会一直在电脑里寻找事先设定的文件类型
然后在文件夹中丢下勒索信,进行加密,再执行把原文件删掉
直到设定的文件类型加密处理完毕为止
看到这里,或今后发现类似行为,你要做的就是 1)HIPS拒绝运行
2)任务管理器中直接结束那个病毒进程 这样,你就大功告成,成功发现和狙击了这个勒索病毒,保证了你电脑上资料的安全!
最好告诉你一个小窍门,对于防止文件被加密可能会有帮助(至少在我的测试中对付这个病毒这个方法有效) 我发现如果把文件属性设置成只读
或者把文件夹设置权限,不许写入或修改
这个病毒就无法破坏,进行加密了
-----------------------------------------------------------------------------------------------------------------
作为一名普通杀软用户,使用ESET的产品差不多有10年历史了
以前基本上是默认设置走天下,也没怎么认真研究过它的功能
值得庆幸的是上网习惯和安全意识还算可以,一直也没出什么问题
对ESET研究感兴趣,是从换上Windows10开始
最初的目的是想知道如何利用杀毒和防火墙功能,对付越来越多的流氓软件(或行为)
现在也算有点心得
昨晚第一次测试失败后,我曾萌发换成杀软的想法,并下载了号称Top几的卡巴进行简单测试
结果发现也不过那么回事,各有所长,各有所短
最后,重新测试狙击勒索病毒的成功,彻底打消了换杀软的念头
我觉得ESET ESS有点像瑞士军刀,功能强大,但你必须会用才能最大地发挥它的功效
我最喜欢ESS的是,你可以最大限度地掌控你的电脑
使电脑的一举一动都在你的掌控之中
好了,个人观点,纯属交流,不喜勿喷
| 
[复制链接]
发表于 2017-7-28 14:53:32
楼主
