离线测试 360 金山 管家 火绒 结果居然

repobor

测试环境：Ghost Win7+杀软+断网
                 双击前都对杀软进行升级处理
                 病毒是使用wcry2.0再用Themida加壳处理
===============================
360和金山失守
360 双击后无任何提示
金山 双击后有提示 但被自己卡死。。。

管家杀衍生体阻止加密成功
火绒直接杀掉源头

repobor

英雄小子

楼主试试瑞星防御勒索到底有没有用

repobor

英雄小子 发表于 2017-5-20 12:35
楼主试试瑞星防御勒索到底有没有用

在哪。。。

repobor

补充瑞星 跟管家一样杀衍生体

逍遥小王子

360这些最好联网（使用云引擎）

skyboybone

火绒本来就不是云杀软，连不连网没区别

oooenooo

楼主，测试一下这个环境能不能中毒，既然勒索病毒是通过445端口进行感染的，那么如果我WIN7系统，
使用普通USER账户登录，不打补丁，不上杀软，管理员账户设置强密码，UAC最高级别，
能否做下测试，看看是否系统会中毒感染，文件被加密？

英雄小子

repobor 发表于 2017-5-20 12:44
在哪。。。

瑞星官网下载昨天发布的，一个专门针对勒索防御方案，目前测试基本都完美拦截

英雄小子

repobor 发表于 2017-5-20 12:45
补充瑞星 跟管家一样杀衍生体

谢谢 楼主可以试试瑞星勒索防御工具

寂静de雨季

离线测360和金山有意义吗

repobor

oooenooo 发表于 2017-5-20 13:44
楼主，测试一下这个环境能不能中毒，既然勒索病毒是通过445端口进行感染的，那么如果我WIN7系统，
使用普 ...

不用测试了
如果是被入侵的话 病毒会顺便被提权 此时UAC只能弹出命令提示符的警告（病毒用批处理删除卷影文件） 文件还是会被加密

oooenooo

repobor 发表于 2017-5-20 14:04
不用测试了
如果是被入侵的话 病毒会顺便被提权 此时UAC只能弹出命令提示符的警告（病毒用批处理删除卷 ...

采用什么样的入侵方式，病毒能提权？

repobor

oooenooo 发表于 2017-5-20 14:05
采用什么样的入侵方式，病毒能提权？

Windows SMB远程漏洞
http://bbs.huorong.cn/thread-21863-1-1.html
http://www.freebuf.com/articles/system/132813.html

ylmfhhh

如果病毒绕过杀毒软件扫描，

zyx9

360 金山不联网不符合“实际情况”，不联网当然也中不了这个毒。做免杀（云 qvm）后联网测试能看出双击的意义。
毕竟过了云毒库、qvm，就只剩下主防了。

646282

http://bbs.kafan.cn/thread-2090186-1-1.html
都是断网测试，为何与这贴的管家测试结果不一样呢？

repobor

646282 发表于 2017-5-20 14:57
http://bbs.kafan.cn/thread-2090186-1-1.html
都是断网测试，为何与这贴的管家测试结果不一样呢？

我是通过程序内置的升级以后再测试的
还有金山那个我也弹出了框 然后卡掉了。。。。。

oooenooo

repobor 发表于 2017-5-20 14:17
Windows SMB远程漏洞
http://bbs.huorong.cn/thread-21863-1-1.html
http://www.freebuf.com/articles/ ...

看到有人回复说这个入侵是要开启445端口和关闭防火墙才能成功的

repobor

oooenooo 发表于 2017-5-20 15:03
看到有人回复说这个入侵是要开启445端口和关闭防火墙才能成功的

防火墙不用关闭，，
端口的话
SMB文件共享需要用到445端口 本次攻击利用的是SMB的漏洞 通过关闭445端口 实现禁用SMB文件共享 即可防御