勒索软件家族又一个：Tilde Ransomware

显示全部楼层 · 发表于 2016-7-27 11:44:09

认真的看完各位大大的测试和评论，谢谢各位大大！

显示全部楼层 · 发表于 2016-7-27 11:47:14

本帖最后由阿里小白帽于 2016-7-27 11:49 编辑

瑞星报毒好压报危险

显示全部楼层 · 发表于 2016-7-27 11:58:29

540923555 发表于 2016-7-27 11:02
瞬间加密什么意思？不会又是伪加密吧。。。进PE看看文件有没有真被加密，或者是你点哪个加密哪个

有些勒索样本是先注入再加密，有些就是直接加密

显示全部楼层 · 发表于 2016-7-27 12:08:52

qftest 发表于 2016-7-27 11:24
过得好啊，免得被神化
入库防御越发显得老态了，没有好的主防或HIPS就等着中标吧
不要 ...

我也想出了辦法對付COMODO的沙盒.利用IE Adobe Flash Java 的漏洞攻擊植入.dll然後利用rundll32.exe執行破壞完美過COMODO沙盒

显示全部楼层 · 发表于 2016-7-27 12:50:09

nick20010117 发表于 2016-7-27 08:04
EAM的主防可以保证不被加密，这点我测试的时候一直如此

这个666

不过，EAM可惜处理样本只能隔离或者删除…

显示全部楼层 · 发表于 2016-7-27 12:54:14

阿里小白帽发表于 2016-7-27 11:47
瑞星报毒好压报危险

这是已经入库了…

如果没入库（关闭文件监控靠主防），误双击的话…

显示全部楼层 · 发表于 2016-7-27 12:56:30

ericdj 发表于 2016-7-27 12:54
这是已经入库了…
如果没入库（关闭文件监控靠主防），误双击的话…

公司电脑没敢双击

显示全部楼层 · 发表于 2016-7-27 14:55:33

windows7爱好者发表于 2016-7-27 11:58
有些勒索样本是先注入再加密，有些就是直接加密

之前神网的样本有一个就是压根不加密文档，只是让你以为被加密了，中毒一个星期，进PE拷出来打不开的文档，拿到正常电脑可正常打开。只是勒索软件加了钩子而已，你在中毒电脑打开任何图片、记事本、文档，都只会打开特定写有勒索内容的文档而已。实际文档未修改。

显示全部楼层 · 发表于 2016-7-27 15:06:22

540923555 发表于 2016-7-27 14:55
之前神网的样本有一个就是压根不加密文档，只是让你以为被加密了，中毒一个星期，进PE拷出来打不开的文 ...

然而你说一堆，这个不是

显示全部楼层 · 发表于 2016-7-27 15:12:31

windows7爱好者发表于 2016-7-27 15:06
然而你说一堆，这个不是

看测试说瞬间加密。。。我以为是这样呢。。。

[其他相关] 勒索软件家族又一个：Tilde Ransomware