勒索软件家族新成员Maktub locker ransomware：每次运行都有新体验

显示全部楼层 · 发表于 2016-3-22 23:23:30

ccboxes 发表于 2016-3-22 23:19
可以自己加啊，我把我所有有文档的文件夹都加上了。

这种专一功能的一般不会漏的（如果注入到信任程序就不知道了），我是说ATC反应太慢有一部分已经被加密了，比如桌面和C盘根目录

显示全部楼层 · 发表于 2016-3-22 23:25:41

rrorr 发表于 2016-3-22 23:23
这种专一功能的一般不会漏的（如果注入到信任程序就不知道了），我是说ATC反应太慢有一部分已经被加密了 ...

不吹不黑，蜘蛛的反勒索速度很快啊，秒杀
没发现一个被加密的

显示全部楼层 · 发表于 2016-3-22 23:28:33

rrorr 发表于 2016-3-22 23:23
这种专一功能的一般不会漏的（如果注入到信任程序就不知道了），我是说ATC反应太慢有一部分已经被加密了 ...

C盘根目录是没法，不过桌面可以加进勒索保护里的。

显示全部楼层 · 发表于 2016-3-22 23:32:15

windows7爱好者发表于 2016-3-22 23:25
不吹不黑，蜘蛛的反勒索速度很快啊，秒杀
没发现一个被加密的

毕竟专门针对。

显示全部楼层 · 发表于 2016-3-22 23:35:05

ccboxes 发表于 2016-3-22 23:28
C盘根目录是没法，不过桌面可以加进勒索保护里的。

因为我以前测别的大部分样本至少桌面和C盘根目录都是还没来得及加密就被灭的，可能就像35楼说的那样

很有意思的样本，完全躲过了bd的拦截点，理论上过不了回滚，卡巴应该应该可以回滚，因为没有停那15秒的特征。直接上来就是注入，然后形成一个人为交互躲过bd，然后就是马上进行加密处理，即使最后拦截了，但是也已经被加密，由于没有回滚机制，加密成功了

显示全部楼层 · 发表于 2016-3-22 23:43:58

rrorr 发表于 2016-3-22 23:35
因为我以前测别的大部分样本至少桌面和C盘根目录都是还没来得及加密就被灭的，可能就像35楼说的那样

注入的确很头疼，ATC不可能调整为一注入就杀，IDS专杀注入，但不知道是因为控制误报还是技术受限，在2015和2016版中存在感很弱，基本不出现。
只能说官方也应该是看到了这一点才推出专门的勒索防护，期待2017会有改观吧。

显示全部楼层 · 发表于 2016-3-22 23:53:23

看来得试试eset

显示全部楼层 · 发表于 2016-3-23 00:09:12

本帖最后由 230f4 于 2016-3-23 01:05 编辑

ericdj 发表于 2016-3-22 16:35
你赔我
GD主防居然漏了。似乎反病毒组件还是开着的

木有钱。。。

GD很挑剔，沙箱。。。。。。他只喜欢实机

显示全部楼层 · 发表于 2016-3-23 00:13:28

windows7爱好者发表于 2016-3-22 23:13
果然蜘蛛不会让我失望
单独的DPH，未被加密，勒索防护可以的

2016勒软年，速装蜘蛛保安全

蜘蛛给力

显示全部楼层 · 发表于 2016-3-23 00:25:49

因為樓上的話我综和症發作了

[病毒样本] 勒索软件家族新成员Maktub locker ransomware：每次运行都有新体验