怎么对付加密勒索这个毒瘤？

820119sly

试了下样本区的勒索后都会注入svchost，如果开启规则禁止 Svchost 执行非 Windows 可执行文件，这样做可以拦截注入不？

柯林

820119sly 发表于 2016-1-23 11:39
试了下样本区的勒索后都会注入svchost，如果开启规则禁止 Svchost 执行非 Windows 可执行文件，这样做可以 ...

你实际测下看看结果
它这个svchost不执行非windows程序，好像是不加载非系统的dll
如果注入是让svchost执行病毒dll，可能有效；如果是直接访问svchost进程的内存，写入代码执行，可能不行

820119sly

柯林 发表于 2016-1-23 14:15
你实际测下看看结果
它这个svchost不执行非windows程序，好像是不加载非系统的dll
如果注入是让svchost ...

我看了下毛豆的提示是创建svchost进程，我没虚拟机和沙盘，实机测试不会全盘文件被加密吧？

柯林

820119sly 发表于 2016-1-23 14:38
我没虚拟机和沙盘，实机测试不会全盘文件被加密吧？

实机测试，防不住就玩完，别搞了！风险支付不起！1！
如果要试，建议淘宝二手硬盘，专门用来测试病毒

比如要测勒索病毒，把你用的硬盘，数据线、电源线全拔了；装上测试硬盘，装个xp或win7，测试用的文本、图片之类准备一些，下样本来测试，看看究竟防不防的住
要用自己电脑，把测试盘拔了。这样弄来弄去很不方便，其实最好是配台测毒专用机——淘宝上捡最便宜的买，三五百搞定的那种，反正就是拿来玩毒，测测软件，无所谓，不可惜

820119sly

柯林 发表于 2016-1-23 14:45
实机测试，防不住就玩完，别搞了！风险支付不起！1！
如果要试，建议淘宝二手硬盘，专门用来测试病毒
...

这么危险还是算了，我就是试试各个软件的防御程度。这个注入开始是被毛豆拦截了，关了后被SSP拦截了，我就想咖啡不是有个规则和这个差不多，就想试试，还是算了吧前面两道关都手动关闭了，咖啡是最后一道关了，万一防不住就惨了。。。

柯林

820119sly 发表于 2016-1-23 14:52
这么危险还是算了，我就是试试各个软件的防御程度。这个注入开始是被毛豆拦截了，关了后被SSP拦截了，我 ...

咖啡（VSE）的AD很弱，双击防御风险很大，一般是用来做入口防御，控制FD为主的

820119sly

柯林 发表于 2016-1-23 14:55
咖啡（VSE）的AD很弱，双击防御风险很大，一般是用来做入口防御，控制FD为主的

是啊，感觉咖啡好像没AD功能，FD很好而且RD比毛豆要好。这幸亏那会没试啊，如果不是加密中招还好处理，要中这个就麻烦了。其实那个最开始就被ESS给杀了，这前面三道关都防住了，也不差咖啡这关了。

柯林

820119sly 发表于 2016-1-23 15:00
是啊，感觉咖啡好像没AD功能，FD很好而且RD比毛豆要好。这幸亏那会没试啊，如果不是加密中招还好处理，要 ...

如果扛不住诱惑，要试勒索，先把自己的资料备份好，如果资料太多还是算了——毕竟没没那么大的U盘，移动磁盘对于影音党也不够啊

820119sly

柯林 发表于 2016-1-23 14:55
咖啡（VSE）的AD很弱，双击防御风险很大，一般是用来做入口防御，控制FD为主的

那他这个加密是在本地运行就执行加密了还是要在线加密呢？

820119sly

柯林 发表于 2016-1-23 15:06
如果扛不住诱惑，要试勒索，先把自己的资料备份好，如果资料太多还是算了——毕竟没没那么大的U盘，移动 ...

还是不试了，这病毒太危险了，需要备份的东西太多了。如果开启各个分区资料保护，防住除系统和常用软件外对文件读写和创建，这个规则能防止被加密吗？