收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 勒索病毒
1234567下一页
返回列表 发新帖
楼主: vm001
 收起左侧

[病毒样本] 勒索病毒

  [复制链接]
dongwenqi
发表于 2017-2-2 16:17:22 | 显示全部楼层
vm001 发表于 2017-2-2 11:50
对,我就是从他那里拿到的。。他用的是老版本的360结果中招了

不是吧,那他为啥不升级新版本啊?我相信360是不会赔的
回复

举报

vm001
 楼主| 发表于 2017-2-2 17:26:34 | 显示全部楼层
fireherman 发表于 2017-2-2 15:58
有什么好失望的,病毒太新未入库,火绒自带HIPS,你设置一下用FD规则保护备份的文档;

真不幸中了 ...

这个我也试验过,实在是不实用。。自己删除或者创建文件都会拦截,只有排除explorer进程操作文件,排除记事本程序操作txt,排除office操作文档,排除图片软件操作图片,然而都排除了,那勒索要是注入这些程序来操作文件怎么办
回复

举报

Sailer.X 该用户已被删除
发表于 2017-2-2 17:50:43 | 显示全部楼层
本帖最后由 霄栋 于 2017-2-2 18:13 编辑

Webroot SecureAnywhere miss
趋势11: 勒索防护拦截并回滚文件, 防御成功

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

fireherman
发表于 2017-2-2 18:02:28 | 显示全部楼层
本帖最后由 fireherman 于 2017-2-2 18:04 编辑
vm001 发表于 2017-2-2 17:26
这个我也试验过,实在是不实用。。自己删除或者创建文件都会拦截,只有排除explorer进程操作文件,排除记 ...




这样做无疑就要加入很多白名单进行排除,确实非常麻烦。

我的做法(建议)是:(例子)

建立2个文件夹,一个备份用(如命名为 \Backup),一个操作用(如命名为 \Studio)

对于 \Backup\*  [\Backup\Gallary\*] [\Backup\DOC\*] [\Backup\XML\*] [\Backup\Movies\*]...

直接用FD锁定(锁死),如果需要进行整理(如加入新文件,或者删除过时文件),可以在不运行任何程序的前提下先关闭该规则,对文件夹进行整理,在启动该规则。

优点:全局禁删写,一劳永逸,安全高效
缺点:整理时需要先放行,但这种“整理”频率也不高,1周/1个月 一次,也不算麻烦

对于 \Studio\* 同上;监控没有那么死。

1,建立一条和Backup一样的规则

2,先像你所说的,添加白名单(程序)放行,这样就不需要临时解禁排除

3,建立AD规则进行联动,防止正常程序被注入

优点:相对Backup的全局禁写删,可随时整理
缺点:能否有效防止被注入要看HIPS自身的优劣



综合来看,虽然这完全建立在个人是否有良好使用的习惯上,但如果杀软提供了HIPS,显然就发挥了最大的防护能力;勒索总是优先于杀软的病毒库更新。

这样建立两组规则(Comodo有分组就比较方便,我用ESET的HIPS只能“手动分组”)……反正,我就是这样配置HIPS的;虽然在第一次设置时比较麻烦。


你也没说错,要如此折腾用户,实在是……

回复

举报

pal家族
发表于 2017-2-2 18:03:46 | 显示全部楼层
xu3160668 发表于 2017-2-2 14:29
卡巴双击PDM杀.  那个为啥我不是启发

这个需要扫描,拆出来才行。
卡巴默认监控没有那么深,但是运行起来就是深度启发
回复

举报

ELOHIM
发表于 2017-2-2 19:36:43 | 显示全部楼层
SCEP v1911 扫描不报。
IE 11提示不常见,建议删除处理。
回复

举报

沧桑浪子
发表于 2017-2-2 21:00:13 | 显示全部楼层
360杀毒文件上传日志

时间                    结果         详情     
---------------------------------------------------------------------------------------
2017-02-02 20:55:29     上传成功     c:\360sandbox\shadow\documents and settings\administrator\桌面\baiduyunsimple.exe   (MD5:bd529e07aa7ae40c11b88849f4ef043e)
2017-02-02 20:55:49     上传成功     c:\360sandbox\shadow\documents and settings\administrator\local settings\temp\_mei56642\python27.dll   (MD5:2fe9c93c42b43f401703aebd717e8b0f)
---------------------------------------------------------------------------------------
回复

举报

B100D1E55
发表于 2017-2-2 22:05:00 | 显示全部楼层
学雷锋做人 发表于 2017-2-2 15:22
这个样本带来的代价惨重

你的工具大概拦了一大串文件篡改行为吧
回复

举报

B100D1E55
发表于 2017-2-2 22:10:57 | 显示全部楼层
本帖最后由 B100D1E55 于 2017-2-2 22:52 编辑
fireherman 发表于 2017-2-2 15:28
ESET那边的技术员还搂着老婆在睡觉。

但ATC都能过那么牛?


估计是行为模式比新吧,如果ATC是那种前后关联打分的模型估计就囧了
顺带一提,我测的时候原地址已经被ESET拉黑了
回复

举报

maje007
发表于 2017-2-2 22:54:07 | 显示全部楼层
a1121611810 发表于 2017-2-2 14:55

ws大法好
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-17 19:27 , Processed in 0.102051 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表