Ransom (*.crypt) (18.7.25)

B100D1E55

WhiteCruel 发表于 2018-7-28 03:01
program files目录下的文件完好无损，但是program data下的文件就没躲过这一劫，39个文件被修改
LiveGri ...

就是个无聊的重命名恶作剧程序而已。。。。自保保核心部分就行了（比如你说的监控还在），自保做太绝可能变成自宫

WhiteCruel

B100D1E55 发表于 2018-7-28 04:04
就是个无聊的重命名恶作剧程序而已。。。。自保保核心部分就行了（比如你说的监控还在），自保做太绝可能 ...

嗯。。。虽然没有对文件本身造成“真实伤害”，不过如果在实机中了这个的话，还是挺麻烦的，后缀名被修改导致程序打不开，重启后甚至连系统都无法启动，感觉eset对这种小动作的监视不是很全面
当然，没有哪款杀软能保证做到百分百防住样本的，还是希望ESET越来越好

上上谦

360下载删除

B100D1E55

WhiteCruel 发表于 2018-7-28 04:46
嗯。。。虽然没有对文件本身造成“真实伤害”，不过如果在实机中了这个的话，还是挺麻烦的，后缀名被修改 ...

嗯，理想情况下这种的确要被拦截。不过这种和正常程序行为区别很小的恶作剧程序很难做到自动查杀（批量重命名很多软件都会做），而且现实中很少遇到。这种样本除了无聊人士搞搞恶作剧之外还是很少遇到的……所以一般就是拉黑处理了

www-tekeze

WhiteCruel 发表于 2018-7-28 03:01
program files目录下的文件完好无损，但是program data下的文件就没躲过这一劫，39个文件被修改
LiveGri ...

不是真正的勒索，没勒索信也不会加密，只是改后缀为crypt (19楼有代码)，实际效果相当于删文件。。。从14楼火绒拦截情况看，有两个红色高危弹窗。 刚用微点试了下，双击后很快被拦截，就三个窗口，game over， 只是恶搞不是勒索。。。但这些行为拦不拦截，各家都有自己的策略，不拦可能有风险，但拦下可能成误报误杀。

WhiteCruel

B100D1E55 发表于 2018-7-28 09:13
嗯，理想情况下这种的确要被拦截。不过这种和正常程序行为区别很小的恶作剧程序很难做到自动查杀（批量重 ...

感谢解答

WhiteCruel

www-tekeze 发表于 2018-7-28 11:03
不是真正的勒索，没勒索信也不会加密，只是改后缀为crypt (19楼有代码)，实际效果相当于删文件。。。从14 ...

嗯，后来看楼上的回复发现了，不过我的虚拟机被修改了一些系统dll，造成无法开机。。。中招的话还是挺棘手的

www-tekeze

WhiteCruel 发表于 2018-7-28 11:07
嗯，后来看楼上的回复发现了，不过我的虚拟机被修改了一些系统dll，造成无法开机。。。中招的话还是挺棘 ...

虽然批量改名用户自己也会写，比如我发的样本包，就是自己写的个批处理，很简单一个命令，ren *.* *.vir，放到样本包里双击即可，后缀全变vir。但给系统文件重命名就很危险了，我个人觉得应该拦截，最起码得有个提示吧。

WhiteCruel

www-tekeze 发表于 2018-7-28 11:19
虽然批量改名用户自己也会写，比如我发的样本包，就是自己写的个批处理，很简单一个命令，ren *.* *.vir ...

是啊，我觉得eset可以在这方面改进一下，相比之下，像360的Hips对这种小动作可谓是非常敏感，一般都会进行弹窗提示可疑操作，不过这样的话，弹窗数量也就自然而然地上来了。。。

chenrui19930

霄栋 发表于 2018-7-26 10:27
我这里测试，1，2，3号ATD都是可以杀的，但也都会删除加密后的文件。
2018版ATD加入回滚后，就一直存在 ...

见我在BD区的帖子，官方回复沙盘会影响BD的行为分析，BD默认设置为不与沙盘当中的程序互动，除非动作太大