最新国产勒索软件-过小红伞和火绒主防

显示全部楼层 · 发表于 2016-8-11 10:05:04

tg123321 发表于 2016-8-10 10:29
malware defender再次成功干掉勒索

2016-8-10 10:25:15 创建新进程允许

你的规则监控漏了，看我楼上的。

显示全部楼层 · 发表于 2016-8-11 10:16:46

windows7爱好者发表于 2016-8-11 00:23
看来这个勒索用特殊的手法过了很多勒索防护
因为是先删除源文件，然后修改的，没有触发勒索防护啊 ...

蜘蛛在驭龙那测试成功 149楼

显示全部楼层 · 发表于 2016-8-11 10:18:55

Eset小粉絲发表于 2016-8-10 20:39
我试过，，结束进程最后加密失败。

是的

显示全部楼层 · 发表于 2016-8-11 10:58:00

天耀群星发表于 2016-8-11 10:05
你的规则监控漏了，看我楼上的。

规则没漏，我这里没有跑出你的行为，删除和修改文档/图片我这里都会拦截记录的。。。。

显示全部楼层 · 发表于 2016-8-11 11:23:19

540923555 发表于 2016-8-11 09:11

没有分送了。。

扇晕一个是一个。

不管那么多。

显示全部楼层 · 发表于 2016-8-11 11:31:53

lixihong10 发表于 2016-8-11 08:23
只是一个变量。。。

知道是变量。
他的值是原始文件名，还是原始哈希，还是校验以后的什么东东啊…………

显示全部楼层 · 发表于 2016-8-11 11:36:53

ELOHIM 发表于 2016-8-11 11:31
知道是变量。
他的值是原始文件名，还是原始哈希，还是校验以后的什么东东啊…………

存遍历分区的文件路径+文件名
如 c:\windows\explorer.exe

显示全部楼层 · 发表于 2016-8-11 11:38:52

lixihong10 发表于 2016-8-11 11:36
存遍历分区的文件路径+文件名
如 c:\windows\explorer.exe

谢谢！

显示全部楼层 · 发表于 2016-8-11 12:08:50

驭龙发表于 2016-8-11 09:48
不是，是因为你这个文件之前扫描过，蜘蛛认为不是新文件，所以蜘蛛的主防不监控，这是蜘蛛的硬伤之一

龙大，是不是使用缓存的杀软比较容易出现这种问题？上次测试的时候，过BD扫描的样本，即使更新病毒库，重新扫描一样不杀。必须复制到其它目录，监控才会报毒。

显示全部楼层 · 发表于 2016-8-11 12:24:11

霄栋发表于 2016-8-11 12:08
龙大，是不是使用缓存的杀软比较容易出现这种问题？上次测试的时候，过BD扫描的样本，即使更新病毒库，重 ...

嗯，有时候确实是因为缓存的问题，不过不是同一款软件，缓存机制也各不相同，有的是缓存问题，有的就不是缓存问题，具体需要看是什么软件

[病毒样本] 最新国产勒索软件-过小红伞和火绒主防