楼主: houtiancheng
收起左侧

[技术原创] 自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

  [复制链接]
aphorism
发表于 2016-12-22 22:51:00 | 显示全部楼层
houtiancheng 发表于 2016-12-22 21:07
看起来不错,也算是少数成功防御的一员啦~

http://bbs.kafan.cn/thread-2070010-1-1.html
新出的
houtiancheng
 楼主| 发表于 2016-12-22 22:55:04 | 显示全部楼层
ysj963 发表于 2016-12-22 22:23
请你设置下ESS官方自定义反勒索规则,并且加入全局防注入再试一下。
360卫士关闭主动防御这个选项,联一下 ...


样本已经放出了,自己测吧~
防注入没用的,我这个根本就不注入
houtiancheng
 楼主| 发表于 2016-12-22 22:57:00 | 显示全部楼层
aphorism 发表于 2016-12-22 22:51
http://bbs.kafan.cn/thread-2070010-1-1.html
新出的

给个AVG beta的链接是什么意思……
ysj963
发表于 2016-12-22 23:14:26 | 显示全部楼层
houtiancheng 发表于 2016-12-22 22:55
样本已经放出了,自己测吧~
防注入没用的,我这个根本就不注入

那假如我自定义规则如何防勒索?不锁文件夹的方式。
houtiancheng
 楼主| 发表于 2016-12-22 23:16:42 | 显示全部楼层
ysj963 发表于 2016-12-22 23:14
那假如我自定义规则如何防勒索?不锁文件夹的方式。

让HIPS监视受保护文件夹的一切修改操作是唯一绝对有效的防勒索方法
jefffire
头像被屏蔽
发表于 2016-12-22 23:21:32 | 显示全部楼层
本帖最后由 jefffire 于 2016-12-22 23:24 编辑

VT各个时间段的结果 分析之后很有意思
一开始BD系和avira 显然是有人上报的结果 名称也很准确 是人工入库。然后卡巴入库,macafee 网关开始神奇的“月神启发”很有跟风拉黑的嫌疑(VT有厂商件的样本分享机制)。再然后趋势入库,熊猫、 sophas 、avast、vipre等等 开始群魔乱舞或“启发”或“广谱特征”了 ,很有一种盯着VT上几家大厂 不管三七二十一 这几家报了就先拉黑的味道。
houtiancheng
 楼主| 发表于 2016-12-22 23:40:17 | 显示全部楼层
jefffire 发表于 2016-12-22 23:21
VT各个时间段的结果 分析之后很有意思
一开始BD系和avira 显然是有人上报的结果 名称也很准确 是人工入库 ...

确实有意思,这难道就是各种Gen报法的来源么ww
GreenCodes
发表于 2016-12-23 01:59:17 | 显示全部楼层
其实只有GD算是真的防御成功,启发直接报勒索
ysj963
发表于 2016-12-23 10:04:33 | 显示全部楼层
houtiancheng 发表于 2016-12-22 23:16
让HIPS监视受保护文件夹的一切修改操作是唯一绝对有效的防勒索方法

勒索是不是都是用WINDOWS自带的加密钥匙,要是这样我直接关闭WINDOWS加密功能行不行?然后用HIPS拦住不然开启。
houtiancheng
 楼主| 发表于 2016-12-23 10:11:49 | 显示全部楼层
ysj963 发表于 2016-12-23 10:04
勒索是不是都是用WINDOWS自带的加密钥匙,要是这样我直接关闭WINDOWS加密功能行不行?然后用HIPS拦住不然 ...

当然不是……和windows加密没关系
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 08:02 , Processed in 0.097620 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表