odin病毒

显示全部楼层 · 发表于 2016-10-19 14:41:09

规则名称：禁止更改所有文件扩展名的注册要包含的进程：* 要排除的进程：C:\Windows\explorer.exe, C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Program Files (x86)\Microsoft Office\Office14\msohtmed.exe, C:\Program Files\Microsoft Office\Office14\msohtmed.exe 说明：不添加排除，勾选报告，在手动调整文件管理时如果触红，可以暂时禁用此规则

这条是不是有效呢？中毒后的是将OFFICE文档的后缀名给改了。

显示全部楼层 · 发表于 2016-10-19 16:13:23

本帖最后由 gzmaybe 于 2016-10-19 16:14 编辑

jeff_gx 发表于 2016-10-19 14:35
这条规则也是用别人的。所以来问下

如果是使用VSE或者MSE，要防止勒索软件的话，可以根据Mcafee提供Guideline来设定规则

https://kc.mcafee.com/corporate/index?page=content&id=PD26383

显示全部楼层 · 发表于 2016-10-21 11:32:01

楼上哥们太专业了。我已经按你的方法新建了，是不是这样就不会再中这个毒了？

显示全部楼层 · 发表于 2016-10-21 16:51:23

jeff_gx 发表于 2016-10-21 11:32
楼上哥们太专业了。我已经按你的方法新建了，是不是这样就不会再中这个毒了？

你确定这个病毒是由rundll32.exe来搞破坏？先找到病毒源吧，不然，又悲剧了。

防勒索，VSE一般有两种选择：1、保护重要文件 2、禁止病毒产生

显示全部楼层 · 发表于 2016-10-22 13:41:49

首先要先整明白勒索从何而来，其次勒索隐藏在本地的激发条件，第三才是预防，

McAfee的告示，只是一种引导，最后规则要根据情况具体的分析，设置规则。

[求助] odin病毒

本帖子中包含更多资源

本帖子中包含更多资源