搜索
查看: 12389|回复: 41
收起左侧

[分享] 【火绒】增强版诱饵防勒索规则 up5.30[停止维护]

  [复制链接]
引领四基生活
发表于 2017-5-24 19:05:38 | 显示全部楼层 |阅读模式
本帖最后由 引领四基生活 于 2017-7-1 18:24 编辑

火绒官方已加入勒索病毒诱捕功能
本规则作废


Part1
作者@cdyism
2.  规则原理为诱饵法,没有技术含量,大佬请绕道
3.  样本均选择在5.15前未入库,默认主防不报的样本
4.  结果仅供参考.并非所有勒索都是从头开始加密,若使用该规则扔被勒索加密与作者及楼主无关
5.  测试环境无视我内存。。。。

1.png
6.  按使用说明将诱饵拷贝至所有盘,导入规则后,开始测试。


资源下载
规则: 勒索诱饵.part1.rar (500 KB, 下载次数: 389)

评分

参与人数 3分享 +2 魅力 +1 人气 +3 收起 理由
屁颠屁颠 + 2 + 1 + 1 版区有你更精彩: )
Johnkay.Young + 1 版区有你更精彩: )
784696777 + 1 版区有你更精彩: )

查看全部评分

引领四基生活
 楼主| 发表于 2017-5-24 19:19:59 | 显示全部楼层
本帖最后由 引领四基生活 于 2017-5-25 12:05 编辑

使用方法简体化
  1. 1.将!test、Medium decoy和test!资料夹粘贴至C盘(直接贴在C:/下面)

  2. 2.打开火绒防护中心-系统防御-自定义防护-导入,选取"勒索诱饵.json"这个档案

  3. 3.确认开关为绿色即可生效
复制代码
【特别注意!!!!!!!!!!!!!!!当跳出诱饵警示务必点选"结束进程"】

勒索诱饵只能使用一次,如果不幸被勒索跳出警示,结束进程后请务必重新将诱饵重新放入C盘下取代
  ,否则诱饵可能会失效(诱饵已经被勒索破坏)

引领四基生活
 楼主| 发表于 2017-5-24 19:13:09 | 显示全部楼层
Part2测试开始
3.png
结束进程后未被加密
4.png



4.png 5.png
结束进程后未被加密
6.png
第一个双击自动退出 第二个
7.png
结束进程后未被加密
8.png



10.png 11.png
结束进程后仍未被加密



引领四基生活
 楼主| 发表于 2017-5-24 19:16:03 | 显示全部楼层
part3 总结

本方法虽然简单有效,仅做为扫描引擎、主防失效的补救方案
但随着勒索演化可能失效 所以还请及时做好资料备份

cdyism
发表于 2017-5-24 19:40:47 | 显示全部楼层
本帖最后由 cdyism 于 2017-5-26 13:17 编辑

還真的把帖子發出來啦

你可以推你寫的改進方案阿(<-原作懶蟲發作中
见朕骑妓的时刻
头像被屏蔽
发表于 2017-5-24 20:10:53 | 显示全部楼层
引领四基生活 发表于 2017-5-24 19:16
part3 总结

本方法虽然简单有效,仅做为扫描引擎、主防失效的补救方案

小子有点厉害啊
sanhu35
发表于 2017-5-24 20:58:28 | 显示全部楼层
以前也有类似的方法去对付扫描磁盘然后感染的病毒
FUZE
发表于 2017-5-25 02:46:39 | 显示全部楼层
可以,可以,这操作可以!
随便注册
发表于 2017-5-25 03:39:28 | 显示全部楼层
当成从“文件头”了,还想什么黑科技?确实很巧妙。
cdyism
发表于 2017-5-25 08:33:09 | 显示全部楼层
FUZE 发表于 2017-5-25 02:46
可以,可以,这操作可以!

以前台灣ptt有人寫腳本監測!test這個資料夾
裡面的資料被變動就立刻關機,避免傷害擴大

只是那方式有問題
既然火絨有不錯的自定義規則 就拿來利用下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|纳美地| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-6-20 09:28 , Processed in 0.047896 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表