自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

显示全部楼层 · 发表于 2016-12-22 22:51:00

houtiancheng 发表于 2016-12-22 21:07
看起来不错，也算是少数成功防御的一员啦~

http://bbs.kafan.cn/thread-2070010-1-1.html
新出的

显示全部楼层 · 发表于 2016-12-22 22:55:04

ysj963 发表于 2016-12-22 22:23
请你设置下ESS官方自定义反勒索规则，并且加入全局防注入再试一下。
360卫士关闭主动防御这个选项，联一下 ...

样本已经放出了，自己测吧~
防注入没用的，我这个根本就不注入

显示全部楼层 · 发表于 2016-12-22 22:57:00

aphorism 发表于 2016-12-22 22:51
http://bbs.kafan.cn/thread-2070010-1-1.html
新出的

给个AVG beta的链接是什么意思……

显示全部楼层 · 发表于 2016-12-22 23:14:26

houtiancheng 发表于 2016-12-22 22:55
样本已经放出了，自己测吧~
防注入没用的，我这个根本就不注入

那假如我自定义规则如何防勒索？不锁文件夹的方式。

显示全部楼层 · 发表于 2016-12-22 23:16:42

ysj963 发表于 2016-12-22 23:14
那假如我自定义规则如何防勒索？不锁文件夹的方式。

让HIPS监视受保护文件夹的一切修改操作是唯一绝对有效的防勒索方法

显示全部楼层 · 发表于 2016-12-22 23:21:32

本帖最后由 jefffire 于 2016-12-22 23:24 编辑

VT各个时间段的结果分析之后很有意思
一开始BD系和avira 显然是有人上报的结果名称也很准确是人工入库。然后卡巴入库，macafee 网关开始神奇的“月神启发”很有跟风拉黑的嫌疑（VT有厂商件的样本分享机制）。再然后趋势入库，熊猫、 sophas 、avast、vipre等等开始群魔乱舞或“启发”或“广谱特征”了，很有一种盯着VT上几家大厂不管三七二十一这几家报了就先拉黑的味道。

显示全部楼层 · 发表于 2016-12-22 23:40:17

jefffire 发表于 2016-12-22 23:21
VT各个时间段的结果分析之后很有意思
一开始BD系和avira 显然是有人上报的结果名称也很准确是人工入库 ...

确实有意思，这难道就是各种Gen报法的来源么ww

显示全部楼层 · 发表于 2016-12-23 01:59:17

其实只有GD算是真的防御成功，启发直接报勒索

显示全部楼层 · 发表于 2016-12-23 10:04:33

houtiancheng 发表于 2016-12-22 23:16
让HIPS监视受保护文件夹的一切修改操作是唯一绝对有效的防勒索方法

勒索是不是都是用WINDOWS自带的加密钥匙，要是这样我直接关闭WINDOWS加密功能行不行？然后用HIPS拦住不然开启。

显示全部楼层 · 发表于 2016-12-23 10:11:49

ysj963 发表于 2016-12-23 10:04
勒索是不是都是用WINDOWS自带的加密钥匙，要是这样我直接关闭WINDOWS加密功能行不行？然后用HIPS拦住不然 ...

当然不是……和windows加密没关系

[技术原创] 自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]