360防御勒索问题测试

vm001

样本地址http://bbs.kafan.cn/thread-2062323-1-1.html
360安装beta最新的

为了测试防御问题，我们需要删除360的qvm模块和关闭云安全计划，防止样本修改MD5后被上传
一切工作准备就绪。。

我想这是一个环境，不代表很大部分。。
首先说这个勒索的行为是先远程线程注入自身进程，然后开始勒索行为。。
然而只要拦截了注入就没有什么问题了，但是这里有个问题就是360在win10或者说win1064位系统上需要开启核晶防护，才会拦截到一些样本的注入行为。。这个现在大部分主板是已经开启vt的，但是有部分需要用户到主板里设置才可以，那么有多少用户会自己操作这些呢？
所以这里我就要模仿这些不会在主板里开启vt的用户，恰巧遇到勒索的情况。。
我们就用虚拟机来模仿下环境吧

我们要知道，样本进入用户系统的时候不一定是压缩包，他可能就是一个直接可执行文件，比如exe
我们在虚拟机外修改样本MD5，然后拖到虚拟机（这里官人也可能会说，需要传进去，因为不会无缘无故的进入电脑的，传进去其实就是要通过一下360的下载保护或者说是传输保护，那这个不是重要的，因为很多人不一定适用的是360有保护的浏览器）
拖进去以后，要确保360防护起了作用
然后来运行样本。。
因为我模仿无法开启vt的用户，所以虚拟机就没设置开机虚拟化。。
样本执行以后注入自身。。360拦截不到注入
不过马上会报毒。。因为样本已经注入了，所以报毒同时弹出uac提示（很多ghost用户估计都是关闭的，所以连这个提示也不一定会有）



点击是以后，我们在点击360拦截泡泡的清除



点击清除以后，其实由于注入的缘故，样本的进程还在，360只是结束掉注入以后的双进程的其中一个



样本开始读写磁盘



360再次弹出拦截提示，但是文件已经被加密



结论可以总结为，360在无法开启vt虚拟化技术的64位电脑上，如果遇到还没有捕获入库的勒索病毒，可能是无法防御的。。

pal家族

桑次不是说数字会先备份被加密的文档那个吗？
这种情况下保护机制失效了吗?

vm001

pal家族 发表于 2016-10-28 12:13
桑次不是说数字会先备份被加密的文档那个吗？
这种情况下保护机制失效了吗?

备份文档实在检测到勒索行为的时候开始备份原文档，比如执行某类勒索360弹出拦截文档修改的泡泡，这时候是有一两个文档已经被篡改了的，然后在你点击拦截泡泡上的阻止的时候，360帮你把这已经篡改了得文档恢复出来。。
然而我这个测试是360在这种情况下就没检测到文档的篡改行为

pal家族

vm001 发表于 2016-10-28 12:18
备份文档实在检测到勒索行为的时候开始备份原文档，比如执行某类勒索360弹出拦截文档修改的泡泡，这时候 ...

那监控报的ransom是什么原理呢？
云主防吗？

vm001

pal家族 发表于 2016-10-28 12:22
那监控报的ransom是什么原理呢？
云主防吗？

这个要么是云主防报的，要么是ave引擎报的。。
甚至有可能是云端的在线多引擎扫描报的

pal家族

vm001 发表于 2016-10-28 12:35
这个要么是云主防报的，要么是ave引擎报的。。
甚至有可能是云端的在线多引擎扫描报的

还是监控体系。。。。
可惜了
除非重新设置一套住房和监控

ydgaga

360卫士有反勒索服务，就算是拦截不了，360还有垫付勒索资金功能，不需要自己掏钱的
国内现在唯一还做赔付的就只有360了，这个不服不行
网购赔付和勒索赔付
关键是360还是免费的
你还要啥自行车

pal家族

追求完美是任何一家安全厂商应该一直追求的
除非
他不是一家安全厂商。
回复楼上

BHHZDQL

pal家族 发表于 2016-10-28 15:43
追求完美是任何一家安全厂商应该一直追求的
除非
他不是一家安全厂商。

安全厂商只是厂商，他的主要任务是赚钱而不是追求完美

追求的只是个相对的平衡，投入和产出的平衡

总而言之就是追求最大的利益

pal家族

BHHZDQL 发表于 2016-10-28 18:20
安全厂商只是厂商，他的主要任务是赚钱而不是追求完美

追求的只是个相对的平衡，投入和产出的平 ...

所以e厂商赚的钱多
有的抓不到钱