过SEP14勒索一枚，实机败北

显示全部楼层 · 发表于 2016-10-3 00:35:42

linzh 发表于 2016-10-2 23:44
抱歉连贴了，因为这次测的是诺顿双击
而且，过了诺顿sonar呢？？？
加密完成后开始删诺顿文 ...

应该是加密诺顿的文件，被保护了

推荐的操作-不需要操作
2333333

显示全部楼层 · 发表于 2016-10-3 00:37:47

coolcfan 发表于 2016-10-3 00:03
印象里上一个上来就加密的样本也是干躺一大片，就蜘蛛、BD2017等少数几个坚挺……

BD也跪过一次，蜘蛛防不住DLL勒索，卡巴跪过，趋势拦截不完全
现在EMS倒是没有战败记录

显示全部楼层 · 发表于 2016-10-3 01:14:41

小a杀掉。

显示全部楼层 · 发表于 2016-10-3 01:16:06

windows7爱好者发表于 2016-10-3 00:37
BD也跪过一次，蜘蛛防不住DLL勒索，卡巴跪过，趋势拦截不完全
现在EMS倒是没有战败记录

https://heimdalsecurity.com/blog ... generation-malware/

丹麦一家安软公司的趋势分析.

二代病毒有领先安软的一些诀窍.

显示全部楼层 · 发表于 2016-10-3 07:31:17

我之前就说过SEP 14杀勒索并不完美，不是么

显示全部楼层 · 发表于 2016-10-3 07:32:36

fireherman 发表于 2016-10-2 20:26
我等不及了要退出系统了，虚拟机的CPU飙升到100%，卡死……

这个不需要虚拟机，在沙盘里测试就行，前几十秒没反应，然后沙盘文件一下出来好几百MB。。。。吓死宝宝了

显示全部楼层 · 发表于 2016-10-3 08:04:06

双击不敢啊。。。

显示全部楼层 · 发表于 2016-10-3 08:05:57

本帖最后由电脑发烧友于 2016-10-3 08:10 编辑

发作方式从行为上看不出什么异常，
遍历目录—加密文件，甚至连一个子进程都没有，或许过于简单的行为容易过主防把，我遇到的勒索基本上都会带有子进程的，像这种“遍历目录—加密文件”却无其他行为的，我只遇到过一次，而且那次过掉了至少两个主流杀软。

值得注意的是，我这次再次用COMODO回滚样本的行为，然而这次连文件名都不恢复了（平常回滚至少会回滚文件名，但是内容还是加密了）。直接把所有加密的文件都删了。

显示全部楼层 · 发表于 2016-10-3 08:19:51

电脑发烧友发表于 2016-10-3 08:05
发作方式从行为上看不出什么异常，
遍历目录—加密文件，甚至连一个子进程都没有，或许过于简单的行为容易 ...

我极度怀疑这个勒索是用VC或者VB写的，它把函数库全写进程序里，根本不需要调用其他进程。

显示全部楼层 · 发表于 2016-10-3 08:20:34

540923555 发表于 2016-10-3 07:32
这个不需要虚拟机，在沙盘里测试就行，前几十秒没反应，然后沙盘文件一下出来好几百MB。。。。吓死宝宝了 ...

实体机沙箱我不敢，万一漏沙就欲哭无泪了。

[病毒样本] 过SEP14勒索一枚，实机败北

本帖子中包含更多资源