#Cerber #Ransom 16.12.13

显示全部楼层 · 发表于 2016-12-13 12:45:06

windows7爱好者发表于 2016-12-13 12:42
你这样带帽子，国外几大可要不服了

这个不服不行，国外的一般是依靠启发入库和多步行为分析，如果行为简单点，来个国产的勒索，上来就删除文件再要针对他们做下免杀，估计这时候就能体会到360的防护勒索比他们厉害了

显示全部楼层 · 发表于 2016-12-13 12:48:32

vm001 发表于 2016-12-13 12:45
这个不服不行，国外的一般是依靠启发入库和多步行为分析，如果行为简单点，来个国产的勒索，上来就删除文 ...

能找到样本吗？

显示全部楼层 · 发表于 2016-12-13 13:19:41

vm001 发表于 2016-12-13 12:45
这个不服不行，国外的一般是依靠启发入库和多步行为分析，如果行为简单点，来个国产的勒索，上来就删除文 ...

主要国外目前我还没发现用备份这种方法防御勒索的
BD是靠瞬杀，诺顿的回滚对于已经加密成功的无力

显示全部楼层 · 发表于 2016-12-13 13:21:45

驭龙发表于 2016-12-13 11:55
看14楼

好吧，重启也一样miss

看来真是有问题了

显示全部楼层 · 发表于 2016-12-13 13:44:25

本帖最后由 vm001 于 2016-12-13 13:47 编辑

230f4 发表于 2016-12-13 12:48
能找到样本吗？

这不用找具体样本，因为喔没遇到国产勒索针对国外免杀的。。哈哈哈。。
不过样本区之前好像有过一个，当时不是诺顿卡巴都挂了吗。。
另外360防护属于掐脖子办法，针对的是写入删除文档的操作，防护的严密性肯定比多步行为判断要强的多。。

再者比如我要是勒索，就先写入启动文件夹，然后判断自身的启动路径，如果是在启动文件夹，那就开始修改删除文档，如果路径不是启动文件夹，我就只有写入启动文件夹一个行为。。往下不用说了吧

显示全部楼层 · 发表于 2016-12-13 13:49:54

vm001 发表于 2016-12-13 13:44
这不用找具体样本，因为喔没遇到国产勒索针对国外免杀的。。哈哈哈。。
不过样本区之前好像有过一个， ...

emsisoft11.0防护与360类似，检测文档的写入，删除操作
但我没发现它会备份，我用的时候从未漏过一个勒索

显示全部楼层 · 发表于 2016-12-13 15:15:41

本帖最后由青衣染雪于 2016-12-13 15:27 编辑

手贱实机双击了一次，瑞星墙阻止，允许联网后所有重要文件都被加密

火绒和gd没有反应。我5年的照片全完了。以后再实机剁手
gd再见

显示全部楼层 · 发表于 2016-12-13 15:27:10

windows xp mse
下载带密码杀
解压不报。
双击，全部加密，全程没反应。

显示全部楼层 · 发表于 2016-12-13 15:40:11

青衣染雪发表于 2016-12-13 15:15
手贱实机双击了一次，瑞星墙阻止，允许联网后所有重要文件都被加密火绒和gd没有反应。我 ...

为啥不在虚拟机玩，太危险了

显示全部楼层 · 发表于 2016-12-13 15:41:16

青衣染雪发表于 2016-12-13 15:15
手贱实机双击了一次，瑞星墙阻止，允许联网后所有重要文件都被加密火绒和gd没有反应。我 ...

看13楼和16楼火绒拦截了，你是不是没开火绒，还是怎么的

[病毒样本] #Cerber #Ransom 16.12.13

本帖子中包含更多资源

浏览过的版块