楼主: qq316107934
收起左侧

[病毒样本] 最新国产勒索软件-过小红伞和火绒主防

  [复制链接]
天耀群星
头像被屏蔽
发表于 2016-8-11 10:05:04 | 显示全部楼层
tg123321 发表于 2016-8-10 10:29
malware defender再次成功干掉勒索

2016-8-10 10:25:15    创建新进程    允许

你的规则监控漏了,看我楼上的。
km2002
发表于 2016-8-11 10:16:46 | 显示全部楼层
windows7爱好者 发表于 2016-8-11 00:23
看来这个勒索用特殊的手法过了很多勒索防护
因为是先删除源文件,然后修改的,没有触发勒索防护啊 ...

蜘蛛在 驭龙 那测试成功  149楼
514422325
发表于 2016-8-11 10:18:55 | 显示全部楼层
Eset小粉絲 发表于 2016-8-10 20:39
我试过,,结束进程最后加密失败。

是的
tg123321
发表于 2016-8-11 10:58:00 | 显示全部楼层
天耀群星 发表于 2016-8-11 10:05
你的规则监控漏了,看我楼上的。

规则没漏,我这里没有跑出你的行为,删除和修改文档/图片我这里都会拦截记录的。。。。
ELOHIM
发表于 2016-8-11 11:23:19 | 显示全部楼层

没有分送了。。

扇晕一个是一个。

不管那么多。


ELOHIM
发表于 2016-8-11 11:31:53 | 显示全部楼层
lixihong10 发表于 2016-8-11 08:23
只是一个变量。。。



知道是变量。
他的值是原始文件名,还是原始哈希,还是校验以后的什么东东啊…………
lixihong10
发表于 2016-8-11 11:36:53 | 显示全部楼层
ELOHIM 发表于 2016-8-11 11:31
知道是变量。
他的值是原始文件名,还是原始哈希,还是校验以后的什么东东啊…………

存 遍历分区的文件 路径+文件名
如 c:\windows\explorer.exe
ELOHIM
发表于 2016-8-11 11:38:52 | 显示全部楼层
lixihong10 发表于 2016-8-11 11:36
存 遍历分区的文件 路径+文件名
如 c:\windows\explorer.exe


谢谢!
Sailer.X 该用户已被删除
发表于 2016-8-11 12:08:50 | 显示全部楼层
驭龙 发表于 2016-8-11 09:48
不是,是因为你这个文件之前扫描过,蜘蛛认为不是新文件,所以蜘蛛的主防不监控,这是蜘蛛的硬伤之一

龙大,是不是使用缓存的杀软比较容易出现这种问题?上次测试的时候,过BD扫描的样本,即使更新病毒库,重新扫描一样不杀。必须复制到其它目录,监控才会报毒。
驭龙
发表于 2016-8-11 12:24:11 | 显示全部楼层
霄栋 发表于 2016-8-11 12:08
龙大,是不是使用缓存的杀软比较容易出现这种问题?上次测试的时候,过BD扫描的样本,即使更新病毒库,重 ...

嗯,有时候确实是因为缓存的问题,不过不是同一款软件,缓存机制也各不相同,有的是缓存问题,有的就不是缓存问题,具体需要看是什么软件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 09:23 , Processed in 0.088994 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表