Trojan.Ransom.ALO（勒索软件）

EnZhSTReLniKoVa

大蜘蛛

"Object","Threat","Action","Path",
"20.exe","Trojan.Encoder.514  ","已隔离","D:\病毒样本\20.exe",

ericdj

230f4 发表于 2015-10-26 23:35
实机双击，开启Ransomware Protection，但是没能看到它的身影：

晚上回到宿舍，发现BD好像更新有点问题~~~~~

开启Ransomware Protection，不需要打开那些文件夹么？

可惜，Ransomware Protection只是把CCleaner拦截了

aboringman

230f4 发表于 2015-10-26 23:35
实机双击，开启Ransomware Protection，但是没能看到它的身影：

其实很多杀软我都用过，BD当然不例外，只是我不太喜欢而已（其实就是配置不好，不太敢用）

230f4

ericdj 发表于 2015-10-26 23:55
晚上回到宿舍，发现BD好像更新有点问题~~~~~

开启Ransomware Protection，不需要打开那些文件夹 ...

我没关注过BD的更新问题，一般都可以更新成功的。

不需要打开任何文件呢

好不容易发现一个勒索软件，却看不到Ransomware Protection起作用～

230f4

aboringman 发表于 2015-10-27 00:00
其实很多杀软我都用过，BD当然不例外，只是我不太喜欢而已（其实就是配置不好，不太敢用）

还以为你从没用过

EnZhSTReLniKoVa

230f4 发表于 2015-10-27 00:01
我没关注过BD的更新问题，一般都可以更新成功的。

不需要打开任何文件呢

你可以关闭 勒索保护看看。



勒索默认情况下应关闭。

你可以白名单或黑名单的勒索应用程序。您也可以从勒索保护的文件夹列表中删除文件夹和文件夹添加到了勒索保护的文件夹列表。

删除被阻止的应用程序在阻止应用程序列表中，然后白名单它们
1.要删除的模块被阻止的应用程序单击，然后单击保护找到勒索保护和点击禁止的应用程序。突出阻止应用程序，并从禁止的应用程序列表中删除。
2.白名单应用程序从禁用的应用程序列表或任何应用程序去勒索保护和点击受信任的应用程序只是删除。添加要白名单应用程序


删除文件夹从受保护的文件夹列表，并添加文件夹到受保护的文件夹列表
1.从proteced文件夹列表中删除一个受保护的文件夹，点击勒索保护找到保护文件夹列表中，选中它，然后单击删除。
2.受保护文件夹添加到受保护的文件夹列表中点击勒索保护，单击添加，浏览要添加到受保护的名单，并将其添加的文件夹。

230f4

君陌潇 发表于 2015-10-27 00:06
你可以关闭 勒索保护看看。

下次再说吧

EnZhSTReLniKoVa

230f4 发表于 2015-10-27 00:08
下次再说吧

勒索保护自动保护的文档，图片和Onedrive文件夹中的文件被加密，并勒索赎金。你可能希望它在引导过程中保护这些重要的文件了。

230f4

君陌潇 发表于 2015-10-27 00:11
勒索保护自动保护的文档，图片和Onedrive文件夹中的文件被加密，并勒索赎金。你可能希望它在引导过程中保 ...

分析：https://www.hybrid-analysis.com/ ... cce?environmentId=2

EnZhSTReLniKoVa

230f4 发表于 2015-10-27 00:15
分析：https://www.hybrid-analysis.com/sample/2f1e137b130d30aa92559dda0d053e187f8f32f54c3971645e935 ...

这分析地址 一直在用  很不错的网页分析。