自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

显示全部楼层 · 发表于 2016-12-19 10:18:37

楼主可否pm一个样本玩玩？

显示全部楼层 · 发表于 2016-12-19 10:19:56

hup 发表于 2016-12-19 08:11
把云关掉，主防开最高，再&# ...

开了之后重测还是不行，帖子的费尔图已更新

显示全部楼层 · 发表于 2016-12-19 10:25:20

不知道趋势的主防和云的联系？

显示全部楼层 · 发表于 2016-12-19 10:51:45

houtiancheng 发表于 2016-12-19 10:03
诶？趋势和卡巴结果不一样……
这些都是断网测试的吗？

趋势不造啥情况，卡巴的是应用程序控制关闭自动选择推荐操作后弹窗提示的（如图）

显示全部楼层 · 发表于 2016-12-19 10:54:01

jefffire 发表于 2016-12-19 09:39
查不到信誉信息为了避免误报主防是会大幅降低敏感度的。像ATC这样勇猛的策略还是比较少见的。

ATC是有本地白名单缓存的说

我的BD是昨天的毒库。。肯定是有缓存白名单的，在这种情况下联网不联网是根本没差别的，测其他勒索的时候可以看得出来

显示全部楼层 · 发表于 2016-12-19 11:03:08

linzh 发表于 2016-12-19 06:17
咳咳：
ATC开高：miss

其实单纯的需要靠设置保护文件夹来算勒索防护的话，那火绒也算拦截了，所以这些单纯的勒索防护我个人认为不算主动防御

显示全部楼层 · 发表于 2016-12-19 11:04:11

iduserid 发表于 2016-12-19 07:45
半年前金山QQ客服就说金山检测”加密‘’这个动作，
断网测下金山？

真不是贬低QQ啊，他根本检测不到也拦截不了加密动作，金山的拦截最开始估计可能，这种的不用测试，金山肯定挂

显示全部楼层 · 发表于 2016-12-19 11:07:25

linzh 发表于 2016-12-19 10:54
ATC是有本地白名单缓存的说我的BD是昨天的毒库。。肯定是有缓存白名单的，在这种情况下联网不联网 ...

行为分析没有白名单是没法商用的。出于性能考虑，行为分析的“粒度”都比较粗糙所以生来误报就比静态分析要高。

显示全部楼层 · 发表于 2016-12-19 11:29:05

vm001 发表于 2016-12-19 11:03
其实单纯的需要靠设置保护文件夹来算勒索防护的话，那火绒也算拦截了，所以这些单纯的勒索防护我个人认为 ...

我也是这么觉得的，这种防御方式有点低端。
不过这也算是最有效和最后一道防勒索的手段了。
我感觉这次能拦下来的几个杀软都是靠这种方式。

显示全部楼层 · 发表于 2016-12-19 11:33:22

vm001 发表于 2016-12-19 11:03
其实单纯的需要靠设置保护文件夹来算勒索防护的话，那火绒也算拦截了，所以这些单纯的勒索防护我个人认为 ...

确实不算

，然而如你所见，貌似没有什么主防拦截了的。。

[技术原创] 自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]