Detection ratio: 3 / 55 SSF防御失败，文档被加密（测试下哪家主防能防御）

显示全部楼层 · 发表于 2015-12-10 22:09:01

本帖最后由毛豆新人于 2015-12-10 22:22 编辑

墨家小子发表于 2015-12-10 21:44
这一步执行你就阻止了还玩什么啊？那不成万物拦了？

首先，这个并不是一般性hips提示（下面的图片都是一般提示，一切由自己判断），而是“启发式分析发现恶意行为”，这也万物拦？严重抗议

回去虚拟机测试，默认安全模式下，日志：
2015-12-10 21:55:14 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 创建进程 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe

2015-12-10 21:55:22 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 修改文件 C:\Users\Admin\Desktop\德语2\1.jpg

2015-12-10 21:57:17 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 修改文件 C:\Program Files\COMODO\COMODO Internet Security\boot.dat

2015-12-10 21:57:29 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 修改文件 C:\Program Files\COMODO\COMODO Internet Security\boot.dat

2015-12-10 21:59:37 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 创建进程 C:\Windows\SysWOW64\cmd.exe

2015-12-10 22:00:15 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 创建进程 C:\Windows\SysWOW64\cmd.exe

第一个弹窗只要允许，加密就开始了（瞬间100+个文档）

显示全部楼层 · 发表于 2015-12-10 22:14:32

@Wesly.Zhang
http://bbs.kaspersky.com.cn/foru ... ead&tid=1358524
这里反馈了

显示全部楼层 · 发表于 2015-12-10 22:16:59

毛豆新人发表于 2015-12-10 22:09
首先，这个并不是一般性hips提示（下面的图片都是一般提示，一切由自己判断），而是“启发式分析发现恶 ...

这一步拦截不就可以咯

显示全部楼层 · 发表于 2015-12-10 22:37:41

本帖最后由毛豆新人于 2015-12-11 10:19 编辑

墨家小子发表于 2015-12-10 22:16
这一步拦截不就可以咯

虚拟机卡死我了
加密从这一步开始：加密我拷到桌面的文档、图片，先允许，加密成功要阻止，就得从这里开始
2015-12-10 21:55:22 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 修改文件 C:\Users\Admin\Desktop\德语2\1.jpg

这次我测试还多了几个动作提示，全部允许，直到下面这步（到这步才拦截就已经有文件被加密了）

选择“阻止、终止与恢复”，回滚表面成功，打开失败

毕竟不是虚拟化，又不知道加密算法
2015-12-10 21:57:17 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 修改文件 C:\Program Files\COMODO\COMODO Internet Security\boot.dat

显示全部楼层 · 发表于 2015-12-10 22:47:59

毛豆新人发表于 2015-12-10 22:37
虚拟机卡死我了
加密从这一步开始：加密我拷到桌面的文档、图片，先允许，加密成功
2015-1 ...

毛豆居然有回滚

very good

显示全部楼层 · 发表于 2015-12-10 22:49:20

本帖最后由毛豆新人于 2015-12-10 22:51 编辑

aboringman 发表于 2015-12-10 22:47
毛豆居然有回滚very good

有一点更正：恢复是表面成功，全部打开失败了
毕竟加密动作
毛豆是提供回滚的，但是因为识别率低，回滚也没啥存在感

显示全部楼层 · 发表于 2015-12-10 22:51:00

毛豆新人发表于 2015-12-10 22:49
有一点更正：恢复是表面成功，全部打开失败了
毕竟加密动作

看来还是没法解决被更改的文件啊（毕竟多重加密，加网络拉取密钥）

不过那防御+好像很厉害的样子

显示全部楼层 · 发表于 2015-12-10 22:53:19

毛豆新人发表于 2015-12-10 22:37
虚拟机卡死我了
加密从这一步开始：加密我拷到桌面的文档、图片，先允许，加密成功
2015-1 ...

我晕你说了这么多，能不能告诉我，那一步拦截才会成功？

显示全部楼层 · 发表于 2015-12-10 22:56:32

本帖最后由毛豆新人于 2015-12-10 22:57 编辑

墨家小子发表于 2015-12-10 22:53
我晕你说了这么多，能不能告诉我，那一步拦截才会成功？

非常明显的，我提到的这个动作就开始加密了，这步允许就开始损失部分文件了
2015-12-10 21:55:22 C:\Users\Admin\Desktop\91c3b5d3969b2e53aac962876c060d2956967e0c75666387ba74593fa3a25f7a.exe 修改文件 C:\Users\Admin\Desktop\德语2\1.jpg

安全的当然是最初“启发”提示时就拦截

显示全部楼层 · 发表于 2015-12-10 22:57:35

毛豆新人发表于 2015-12-10 22:56
非常明显的，我提到的这个动作就开始加密了，这步允许就开始损失部分文件了
2015-12-10 21:55:22 ...

你的结论就是不能让这个样本运行是不？

[可疑文件] Detection ratio: 3 / 55 SSF防御失败，文档被加密（测试下哪家主防能防御）

本帖子中包含更多资源

评分

评分

评分

浏览过的版块