360反勒索迷之罢工，过来丢砖头。

显示全部楼层 · 发表于 2017-2-11 11:02:14

本帖最后由电脑发烧友于 2017-2-11 12:11 编辑

事情是这样的，今天在扫描了卫队测试包后双击了剩下的样本，但是，神奇的事情出现了。

我首先双击了一个js，360杀了。

之后我继续双击一个ceber，很不幸，360全程哑火。

我恢复快照，直接双击ceber，又有反应了？

前前后后试了好几次，都是这样

测试环境 VM 12 WIN7 *32 最新版360卫士

难不成360需要休息一下才能继续使用？

GIF录制全过程 http://url.cn/44pz1qF

显示全部楼层 · 发表于 2017-2-11 11:22:42

这个首先需要确认这两次的执行，样本是否都注入自身才开始加密。。
我说个方向，楼主可以再次测试
首先360要防御勒索加密文档这一步有2个条件必须具备其中之一才可以拦截到。
1 样本是通过下载保护
2 如果没有通过下载保护那就需要是压缩包释放。。
从楼主的视频中看，楼主应该是直接拖文件夹进入虚拟机的，这种情况下360是拦截不到加密这一步。。
然而楼主第一次双击没有报毒，是否够样本有注入行为，如果这第一次双击没有这个行为的话，那360肯定要全程哑火。
那么第二次双击360报毒了，报毒原因是拦截到了注入这个行为，楼主可以试一下如果样本反复注入你反复拦截这一步，360是不报毒的，只有你放过注入这步360才会报毒。

显示全部楼层 · 发表于 2017-2-11 11:22:57

别人放电视剧中间都要插播几分钟广告休息一下呢，你难道就不能让360休息一下么？

显示全部楼层 · 发表于 2017-2-11 11:31:19

vm001 发表于 2017-2-11 11:22
这个首先需要确认这两次的执行，样本是否都注入自身才开始加密。。
我说个方向，楼主可以再次测试
首先36 ...

我刚才试了几次，发现已经不能复现了。

不过对于

如果没有通过下载保护那就需要是压缩包释放。。

这点应该有问题，因为就在一周前，卫队内bobo 的YourRansomware我是直接把exe拖进去的，但是双击后卫士依旧明确地弹窗说这是一个勒索病毒。

显示全部楼层 · 发表于 2017-2-11 11:34:22

电脑发烧友发表于 2017-2-11 11:31
我刚才试了几次，发现已经不能复现了。

不过对于

这个直接托进去的只能拦截一部分。。但是不能保证每次都拦截到。。因为直接拖进去的360会判断为本地生成文件（无文件来源）这样会干扰拦截效果

显示全部楼层 · 发表于 2017-2-11 11:39:23

vm001 发表于 2017-2-11 11:34
这个直接托进去的只能拦截一部分。。但是不能保证每次都拦截到。。因为直接拖进去的360会判断为本地生成 ...

只是可惜我这里已经无法复现了，你那里试试？

显示全部楼层 · 发表于 2017-2-11 11:40:19

电脑发烧友发表于 2017-2-11 11:39
只是可惜我这里已经无法复现了，你那里试试？

下午有时间试一试

显示全部楼层 · 发表于 2017-2-11 16:39:01

360说插得不够深当然没有感觉了。

显示全部楼层 · 发表于 2017-2-11 19:35:47

你好，电脑发烧友是否可以提供下测试的病毒样本呢。

显示全部楼层 · 发表于 2017-2-11 20:05:28

360客服发表于 2017-2-11 19:35
你好，电脑发烧友是否可以提供下测试的病毒样本呢。

密码：infected 复现方式：先运行js，等报毒杀掉衍生物之后以管理员权限运行那个剩余的那个exe，上午会出现拦截失败的情况，但是中午的时候却再也不能复现了

[砖头] 360反勒索迷之罢工，过来丢砖头。

本帖子中包含更多资源

本帖子中包含更多资源