Ransomware.DMALocker

显示全部楼层 · 发表于 2016-2-9 18:50:39

nick20010117 发表于 2016-2-9 18:47
蜘蛛就是这么报的，encoder就是表示加密木马

如果样本只是对文档做出修改，不去写启动项不知道蜘蛛还能不能报了

显示全部楼层 · 发表于 2016-2-9 18:52:33

vm001 发表于 2016-2-9 18:50
如果样本只是对文档做出修改，不去写启动项不知道蜘蛛还能不能报了

当然可以，这条规则只针对加密这一个行为（其他行为不管）

显示全部楼层 · 发表于 2016-2-9 19:00:25

vm001 发表于 2016-2-9 18:43
没看出这个报毒是依靠修改文档这个防御点报的

encoder加密机的意思

显示全部楼层 · 发表于 2016-2-9 19:01:30

vm001 发表于 2016-2-9 18:50
如果样本只是对文档做出修改，不去写启动项不知道蜘蛛还能不能报了

给你说了国外主防都是整体化的，不是拆开拦截的，当某样本触发特定行为被杀时，所有样本行为都会被拦截

显示全部楼层 · 发表于 2016-2-9 19:02:02

nick20010117 发表于 2016-2-9 18:52
当然可以，这条规则只针对加密这一个行为（其他行为不管）

暴风影音覆盖安装的时候有修改图片的行为，你把准备覆盖安装的暴风安装包给蜘蛛置灰，然后看有没有拦截图片修改这个点，如果拦截了，说明蜘蛛有这个防御点

显示全部楼层 · 发表于 2016-2-9 19:03:46

windows7爱好者发表于 2016-2-9 19:01
给你说了国外主防都是整体化的，不是拆开拦截的，当某样本触发特定行为被杀时，所有样本行为都会被拦截

你这个说法只能说有监控点，需要结合其他行为做判断，并不是点对点的防御点

显示全部楼层 · 发表于 2016-2-9 19:10:08

vm001 发表于 2016-2-9 19:02
暴风影音覆盖安装的时候有修改图片的行为，你把准备覆盖安装的暴风安装包给蜘蛛置灰，然后看有没有拦截图 ...

我过几天试试，检验一下

显示全部楼层 · 发表于 2016-2-9 19:11:17

vm001 发表于 2016-2-9 19:03
你这个说法只能说有监控点，需要结合其他行为做判断，并不是点对点的防御点

加密勒索最显著的特征不是加密，难道是添加启动项？

显示全部楼层 · 发表于 2016-2-9 19:11:48

vm001 发表于 2016-2-9 19:02
暴风影音覆盖安装的时候有修改图片的行为，你把准备覆盖安装的暴风安装包给蜘蛛置灰，然后看有没有拦截图 ...

仅仅是修改图片蜘蛛是不会报的，加密样本的机制和暴风肯定是不一样的

显示全部楼层 · 发表于 2016-2-9 19:12:19

vm001 发表于 2016-2-9 19:03
你这个说法只能说有监控点，需要结合其他行为做判断，并不是点对点的防御点

我问问@驭龙

[其他相关] Ransomware.DMALocker