勒索软件家族新成员HDDCryptor：让我给你的系统洗洗澡

显示全部楼层 · 发表于 2016-10-3 10:09:23

230f4 发表于 2016-10-3 09:44
https://www.linkedin.com/pulse/mamba-new-full-disk-encryption-ransomware-family-member-marinho

...

看2L

显示全部楼层 · 发表于 2016-10-3 10:09:35

windows7爱好者发表于 2016-10-3 10:06
我记得没有流量扫描
都是下载完才报毒的

是没流量扫描，下载到本地直接报，好比红伞的free和pro

显示全部楼层 · 发表于 2016-10-3 10:18:23

T.Yoshiyuki 发表于 2016-10-3 10:08
不一定 ie和火狐自帶下載開始時都會在臨時文件夾創建一個文件頭還是什麼東西
一般來說這個就可以被安軟 ...

哦，对，有缓存

显示全部楼层 · 发表于 2016-10-3 10:25:17

schumi小粉发表于 2016-10-3 10:09
是没流量扫描，下载到本地直接报，好比红伞的free和pro

红伞pro有流量扫描

显示全部楼层 · 发表于 2016-10-3 10:26:16

电脑发烧友发表于 2016-10-3 10:09
看2L

谢谢

显示全部楼层 · 发表于 2016-10-3 10:28:15

Microsoftheihei 发表于 2016-10-3 10:25
红伞pro有流量扫描

2楼给出了正确运行方式，S

EP14在哪里？

显示全部楼层 · 发表于 2016-10-3 10:29:14

驭龙发表于 2016-10-3 09:09
文件监控全杀。

2楼给出了正确运行方式，有兴趣的话可以试试

显示全部楼层 · 发表于 2016-10-3 10:30:27

230f4 发表于 2016-10-3 10:28
2楼给出了正确运行方式，SEP14在哪里？

红伞入库的样本不能测apc了

显示全部楼层 · 发表于 2016-10-3 10:30:47

230f4 发表于 2016-10-3 10:28
2楼给出了正确运行方式，SEP14在哪里？

win7爱好者才有sep14.不是你回复的那个人，虽然他们的头像。。。。。。。
另外，样本已经入库了，即使关掉监控SONAR也会联动特征库。

显示全部楼层 · 发表于 2016-10-3 10:32:31

fireherman 发表于 2016-10-3 09:41
【更大的排兵布阵空间】就意味着更复杂的设置。

换位思考，我个人觉得90%以上的用户都不是像卡饭里 ...

那就是还得改进他的智能模式和自动模式的规则，不过打磨规则还真是累死公司的一件活，一旦有一个用户不满足这规则又得改，为了满足绝大部分用户，规则肯定偏松，还是要用户自己定制，ATC其实还是类似万物杀的感觉。

[病毒样本] 勒索软件家族新成员HDDCryptor：让我给你的系统洗洗澡