自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

显示全部楼层 · 发表于 2016-12-20 22:45:21

vm001 发表于 2016-12-20 22:43
估计是云查的慢了

趋势也是这样，试三次成功一次。
所以我还是觉得云主防不靠谱

显示全部楼层 · 发表于 2016-12-20 22:47:30

houtiancheng 发表于 2016-12-20 22:45
趋势也是这样，试三次成功一次。
所以我还是觉得云主防不靠谱

嗯，云肯定没本地的稳定

显示全部楼层 · 发表于 2016-12-20 22:53:17

houtiancheng 发表于 2016-12-20 22:44
主要是我觉得全新文件没道理入库杀

有可能是针对勒索病毒的家族特征或基因库之类的，即使是全新文件，只要包含相应的特征码，也可以被侦测到。

显示全部楼层 · 发表于 2016-12-20 23:00:29

本帖最后由霄栋于 2016-12-21 11:24 编辑

后排测试：费尔V8（特征库2014.4.1，云鉴定无法连接，基本相当于断网

）
扫描，过MVM（正常情况，现在费尔的启发已经没有当年那么剽悍了

）
双击，文件被加密。加密完成，生成勒索信时动态防御报毒

然而并没有什么卵用

，已加密文件无法回滚，更奇葩的是，如果选择清除，费尔会删掉勒索信和所有的被加密的文件，目测是当病毒衍生物一起砍了。。。

综上：费尔V8 动态防御测试：Failed

不过没关系，我们还有后招
来自费尔的勒索防护——文件隐私保护

与BD的勒索防护类似，文件隐私保护支持保护任意文件/文件夹免受恶意软件篡改，同时允许用户自定义黑白名单进行控制。

事实上，文件隐私保护提供了丰富的选项，它允许用户选择手动或自动（基于云鉴定或数字签名）选择处理方式

还允许用户设置具体的访问权限

当应用访问受保护文件时，将会收到如下弹窗：

经测试，文件隐私保护可以保护用户自定义的文件和文件夹不受篡改

选择不信任，勒索样本报错，退出时，动态防御补刀，样本被移除，文件未受篡改
费尔V8 文件隐私保护测试：Success

显示全部楼层 · 发表于 2016-12-20 23:29:02

霄栋发表于 2016-12-20 23:00
后排测试：费尔V8（特征库2014.4.1，云鉴定无法连接，基本相当于断网）
扫描，过MVM（正常情况，现 ...

咦，你的费尔还报毒了
我测的时候啥提示都没有……

显示全部楼层 · 发表于 2016-12-20 23:38:52

houtiancheng 发表于 2016-12-20 23:29
咦，你的费尔还报毒了
我测的时候啥提示都没有……

可能跟设置有关？我的动态防御是调到最高的。另外，如果BD那个勒索防护算防御成功，费尔这个文件隐私保护也应该算防御成功吧，可惜费尔的文件隐私保护没有内置默认保护规则。

显示全部楼层 · 发表于 2016-12-20 23:40:56

萬物殺（6級）

显示全部楼层 · 发表于 2016-12-21 00:04:20

本帖最后由月影天心于 2016-12-21 00:41 编辑

本机WD，报Detplock，其它未知

显示全部楼层 · 发表于 2016-12-21 00:17:22

月影天心发表于 2016-12-21 00:04
然而。。。本机WD，报Detplock，12-20 19：53病毒库，云报？其它未知

这个也是万物杀

显示全部楼层 · 发表于 2016-12-21 00:49:12

houtiancheng 发表于 2016-12-21 00:17
这个也是万物杀

嗯，动态签名服务，微软云杀
万物杀大法好

[技术原创] 自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源