用虚拟机试了局域网传染的WannaCry勒索软件

fakeviolation

ccboxes 发表于 2017-6-11 21:43
仅仅从Log看，问题应该从这里开始。请注意Log是时间倒序的，应该从下往上看。

不说别的……防御失败的时候，重启后也没有把病毒干掉，仍然弹出了勒索窗口。
按理说病毒也没针对性破坏卡巴。

ccboxes

fakeviolation 发表于 2017-6-11 22:24
不说别的……防御失败的时候，重启后也没有把病毒干掉，仍然弹出了勒索窗口。
按理说病毒也没针对性破坏 ...

点不重启清毒肯定不完全，卡巴利用“提前启动反恶意软件服务”把很多清除流程都放在开机时进行。

既然是概率的，改一下主贴说明一下。

另外用3月的版本+毒库就能查出来已经非常优秀了。

fakeviolation

ccboxes 发表于 2017-6-11 23:20
点不重启清毒肯定不完全，卡巴利用“提前启动反恶意软件服务”把很多清除流程都放在开机时进行。

既然 ...

刚刚说得挺乱的……编辑掉了。我想说的问题有2个方面：
第一个方面是，主防有能力检测到mssecsvc.exe、tasksche.exe等真正干事儿的程序是恶意的，但在检测有几率失灵（我测试时，被传染机是放着不动的，不知道是不是一个影响因素。有几次开着Procmon就可以成功防御，应该只是偶然）。就怕这个问题不仅影响WannaCry这一个病毒……毕竟新写的病毒都没入病毒库，一定程度上是免杀的，需要靠主防顶上，如果这块明明有希望做好，但却不定时失灵，实在是残念。
第二个方面……就是主防是不是存在死角——登录之前。设想，卡巴面对WannaCry时，在特征和启发方面应该都已经miss了，那再改成只注册服务，只有下次重启时，服务启动，才会发作，那卡巴岂不是被完全搞定了么……
不过……在启动过程中、用户无法干涉的时候，去判断程序行为、阻止可疑程序，也许本来就是个对系统有隐患的不靠谱行为吧。

ccboxes

fakeviolation 发表于 2017-6-12 00:18
刚刚说得挺乱的……编辑掉了。我想说的问题有2个方面：
第一个方面是，主防有能力检测到mssecsvc.exe、t ...

BUG问题没办法，不过卡巴每个小版本都会修复BUG，大厂这方面还是有保证的。

这个不需担心，卡巴在需要弹窗询问的时候将把所有可疑进程挂起（主帖里弹窗时仍在加密是没抓到真正的主进程，不是正常情况）。就算是有这种下一次开机时才发作的病毒，也会直接被卡巴挂起直到用户选择操作。

fakeviolation

ccboxes 发表于 2017-6-12 00:59
BUG问题没办法，不过卡巴每个小版本都会修复BUG，大厂这方面还是有保证的。

这个不需担心，卡巴在需要 ...

按理说只要把可疑行为拦下了，进程自然就阻塞了，不需要再去挂起进程。
第二点，也就是登录前是不是主防的死角，我这个乱七八糟的测试还不能确定，可能是主防一直抽风，哑火了，才搞成见了桌面、勒索都弹出来了还不报毒的情况。如果没抽风，也许就是另一种情况……

ccboxes

fakeviolation 发表于 2017-6-12 01:16
按理说只要把可疑行为拦下了，进程自然就阻塞了，不需要再去挂起进程。
第二点，也就是登录前是不是主防 ...

如果卡巴自动判定的话，的确是直接阻止然后开始回滚。不过在遇到需要用户选择时（比如你自定义了HIPS规则），是挂起进程。

除了自动防御，卡巴的HIPS也很好用，你可以试试。
简易教程
http://bbs.kafan.cn/thread-2033697-1-1.html

neil_aug

LZ不勾选ksn试试。

kaba2017

下载补丁也要好一点呵呵！

hao1234566

那楼主的电脑有没有中招。