收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 McAfee 麦咖啡如何应对加密勒索?
123下一页
返回列表 发新帖
楼主: 柯林
 收起左侧

[讨论] 麦咖啡如何应对加密勒索?

[复制链接]
墨家小子
发表于 2016-2-5 12:02:38 | 显示全部楼层
nick20010117 发表于 2016-2-5 09:29
当然,我还用了另一个规则
阻止程序写入administrator\appdata\roaming文件夹
这样就杜绝了勒索软件释 ...

你就是样本区谈兵啊,看看这个,VS这种禁运都拦截不了
http://bbs.kafan.cn/thread-1936040-1-1.html
回复

举报

柯林
 楼主| 发表于 2016-2-5 12:40:05 | 显示全部楼层
nick20010117 发表于 2016-2-5 09:29
当然,我还用了另一个规则
阻止程序写入administrator\appdata\roaming文件夹
这样就杜绝了勒索软件释 ...

没有实际测试过,不知道具体效果,理论上VSE的AD弱,防注入很不容易做到
回复

举报

nick20010117
发表于 2016-2-5 16:58:35 | 显示全部楼层
墨家小子 发表于 2016-2-5 12:02
你就是样本区谈兵啊,看看这个,VS这种禁运都拦截不了
http://bbs.kafan.cn/thread-1936040-1-1.html


vse还有另一个自带规则,阻止在Windows文件夹写入可执行文件
回复

举报

nick20010117
发表于 2016-2-5 17:03:52 | 显示全部楼层
墨家小子 发表于 2016-2-5 12:02
你就是样本区谈兵啊,看看这个,VS这种禁运都拦截不了
http://bbs.kafan.cn/thread-1936040-1-1.html

这种还是靠智能主防了
回复

举报

qftest
发表于 2016-2-6 22:00:57 | 显示全部楼层
本帖最后由 qftest 于 2016-2-6 22:04 编辑
nick20010117 发表于 2016-2-5 09:29
当然,我还用了另一个规则
阻止程序写入administrator\appdata\roaming文件夹
这样就杜绝了勒索软件释 ...


1、这个规则是对的,就象BDAR那种SRP限制类型一样,禁写程序数据目录可以防范一部份ransomware,特别是cryptowall 3.0/4.0
2、七楼规则有漏洞,据我所知病毒注入的不仅是这两个系统程序,还有自动脚本类型的用解释器来运行等等,所以不如直接放宽限制范围:
http://bbs.kafan.cn/forum.php?mo ... 04&pid=30577345
规则名称:01 调用系统程序
要包含的进程:*
要排除的进程:*\**\COMODO\**, *\**\McAfee\**, *\**\Microsoft.NET\**, C:\Program Files**\Internet Explorer\iexplore.exe, C:\Windows\**.exe
要阻止的文件或文件夹名:C:\Windows\**.exe
要禁止的文件操作:读、执行
阻挡、报告

但同时也需要限制IE以免病毒以IE命令行的形式秘密联网:
规则名称:02 调用IE浏览器
要包含的进程:*
要排除的进程:*\**\COMODO\**, C:\Program Files**\Internet Explorer\iexplore.exe, C:\Windows\**.exe
要阻止的文件或文件夹名:C:\Program Files**\Internet Explorer\iexplore.exe
要禁止的文件操作:读、执行
阻挡、报告

3、虽然也有不需要联网就可以加密的病毒(如HELP_DECRYPT/LeChiffre等),但目前大多数加密病毒还是需要联网下载公钥执行加密操作,所以象LZ说的禁网规则也能防范一部份
然而VSE恐怕也只能做到这些了,并且非常的教条死板
回复

举报

柯林
 楼主| 发表于 2016-2-6 22:38:28 | 显示全部楼层
qftest 发表于 2016-2-6 22:00
1、这个规则是对的,就象BDAR那种SRP限制类型一样,禁写程序数据目录可以防范一部份ransomware,特别是 ...

VSE再不改革,也要落伍了,传说中的大动作,不知道今年是否有点影子。
回复

举报

qftest
发表于 2016-2-6 22:49:51 | 显示全部楼层
柯林 发表于 2016-2-6 22:38
VSE再不改革,也要落伍了,传说中的大动作,不知道今年是否有点影子。

VSE很早就落伍了,值得一提恐怕只有报毒准确(非月神拉黑),说你是Getshell就不会是ShellLoader http://blog.malwaremustdie.org/2 ... gking-tiny-elf.html
你说的大动作是神马?偶不懂哦
回复

举报

柯林
 楼主| 发表于 2016-2-7 09:16:06 | 显示全部楼层
qftest 发表于 2016-2-6 22:49
VSE很早就落伍了,值得一提恐怕只有报毒准确(非月神拉黑),说你是Getshell就不会是ShellLoader h ...

不是很早之前就有人传说,英特尔收购麦咖啡后要大改造
又有人说,麦咖啡在研究主防,要走智能主防路线,不知道弄成啥结果,是不是能跟上BD、FS、诺顿或AVG
回复

举报

nick20010117
发表于 2016-2-7 09:16:40 | 显示全部楼层
qftest 发表于 2016-2-6 22:00
1、这个规则是对的,就象BDAR那种SRP限制类型一样,禁写程序数据目录可以防范一部份ransomware,特别是 ...

这几个规则挺不错的
vse需要改进,对付注入还不好
回复

举报

qftest
发表于 2016-2-7 11:17:29 | 显示全部楼层
柯林 发表于 2016-2-7 09:16
不是很早之前就有人传说,英特尔收购麦咖啡后要大改造
又有人说,麦咖啡在研究主防,要走智能主防路线, ...

哦哦懂了,你说那个主防啊,我以前玩过,这玩意好象是想加入个人版,其实很大部份还是月神拉黑拦截,测了一百多个样本只见过几次主防回滚,默数了下拦截率大约九成左右还算不错了,但感觉还是不如SW http://bbs.kafan.cn/thread-1961029-1-1.html 不支持win10没法具体横评
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-27 05:58 , Processed in 0.097864 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表