楼主: petr0vic
收起左侧

[病毒样本] Ransom (*.crypt) (18.7.25)

  [复制链接]
B100D1E55
发表于 2018-7-28 04:04:42 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-7-28 04:08 编辑
WhiteCruel 发表于 2018-7-28 03:01
program files目录下的文件完好无损,但是program data下的文件就没躲过这一劫,39个文件被修改
LiveGri ...

就是个无聊的重命名恶作剧程序而已。。。。自保保核心部分就行了(比如你说的监控还在),自保做太绝可能变成自宫
WhiteCruel
发表于 2018-7-28 04:46:03 | 显示全部楼层
本帖最后由 WhiteCruel 于 2018-7-28 04:57 编辑
B100D1E55 发表于 2018-7-28 04:04
就是个无聊的重命名恶作剧程序而已。。。。自保保核心部分就行了(比如你说的监控还在),自保做太绝可能 ...

嗯。。。虽然没有对文件本身造成“真实伤害”,不过如果在实机中了这个的话,还是挺麻烦的,后缀名被修改导致程序打不开,重启后甚至连系统都无法启动,感觉eset对这种小动作的监视不是很全面
当然,没有哪款杀软能保证做到百分百防住样本的,还是希望ESET越来越好
上上谦
发表于 2018-7-28 08:46:05 | 显示全部楼层
360下载删除
B100D1E55
发表于 2018-7-28 09:13:23 | 显示全部楼层
WhiteCruel 发表于 2018-7-28 04:46
嗯。。。虽然没有对文件本身造成“真实伤害”,不过如果在实机中了这个的话,还是挺麻烦的,后缀名被修改 ...

嗯,理想情况下这种的确要被拦截。不过这种和正常程序行为区别很小的恶作剧程序很难做到自动查杀(批量重命名很多软件都会做),而且现实中很少遇到。这种样本除了无聊人士搞搞恶作剧之外还是很少遇到的……所以一般就是拉黑处理了
www-tekeze
发表于 2018-7-28 11:03:05 | 显示全部楼层
WhiteCruel 发表于 2018-7-28 03:01
program files目录下的文件完好无损,但是program data下的文件就没躲过这一劫,39个文件被修改
LiveGri ...

不是真正的勒索,没勒索信也不会加密,只是改后缀为crypt (19楼有代码),实际效果相当于删文件。。。从14楼火绒拦截情况看,有两个红色高危弹窗。 刚用微点试了下,双击后很快被拦截,就三个窗口,game over, 只是恶搞不是勒索。。。但这些行为拦不拦截,各家都有自己的策略,不拦可能有风险,但拦下可能成误报误杀。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
WhiteCruel
发表于 2018-7-28 11:03:25 | 显示全部楼层
B100D1E55 发表于 2018-7-28 09:13
嗯,理想情况下这种的确要被拦截。不过这种和正常程序行为区别很小的恶作剧程序很难做到自动查杀(批量重 ...

感谢解答
WhiteCruel
发表于 2018-7-28 11:07:28 | 显示全部楼层
www-tekeze 发表于 2018-7-28 11:03
不是真正的勒索,没勒索信也不会加密,只是改后缀为crypt (19楼有代码),实际效果相当于删文件。。。从14 ...

嗯,后来看楼上的回复发现了,不过我的虚拟机被修改了一些系统dll,造成无法开机。。。中招的话还是挺棘手的
www-tekeze
发表于 2018-7-28 11:19:09 | 显示全部楼层
WhiteCruel 发表于 2018-7-28 11:07
嗯,后来看楼上的回复发现了,不过我的虚拟机被修改了一些系统dll,造成无法开机。。。中招的话还是挺棘 ...

虽然批量改名用户自己也会写,比如我发的样本包,就是自己写的个批处理,很简单一个命令,ren *.* *.vir,放到样本包里双击即可,后缀全变vir。但给系统文件重命名就很危险了,我个人觉得应该拦截,最起码得有个提示吧。
WhiteCruel
发表于 2018-7-28 11:55:13 | 显示全部楼层
www-tekeze 发表于 2018-7-28 11:19
虽然批量改名用户自己也会写,比如我发的样本包,就是自己写的个批处理,很简单一个命令,ren *.* *.vir ...

是啊,我觉得eset可以在这方面改进一下,相比之下,像360的Hips对这种小动作可谓是非常敏感,一般都会进行弹窗提示可疑操作,不过这样的话,弹窗数量也就自然而然地上来了。。。
chenrui19930
发表于 2018-8-3 04:51:21 | 显示全部楼层
霄栋 发表于 2018-7-26 10:27
我这里测试,1,2,3号ATD都是可以杀的,但也都会删除加密后的文件。
2018版ATD加入回滚后,就一直存在 ...

见我在BD区的帖子,官方回复沙盘会影响BD的行为分析,BD默认设置为不与沙盘当中的程序互动,除非动作太大
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:51 , Processed in 0.119608 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表