火绒+360都防不住勒索病毒

huangda

火绒工程师 发表于 2018-11-28 17:03
您好，您联系过这边了吗？您具体是什么情况呢？请您加下QQ：284816209好吗？这边查看下

这边当时确实火绒是开启状态，360国际版也是开启状态，但是确实中了，是自己创建的Windows的共享文件夹的文件中了，其他文件，没事，建议加强对该病毒的防御呀或者加强文档保护。

huangda

360主动防御 发表于 2018-11-28 17:02
您好，此类型勒索病毒目前卫士确认可以支持防御，但是暂不支持解密；
为防止勒索病毒入侵电脑，建议正常安 ...

这边当时确实火绒是开启状态，360国际版也是开启状态，但是确实中了，是自己创建的Windows的共享文件夹的文件中了，其他文件，没事，建议加强对该病毒的防御呀或者加强文档保护。

兔子大大

huangda 发表于 2018-11-29 08:30
这边当时确实火绒是开启状态，360国际版也是开启状态，但是确实中了，是自己创建的Windows的共享文件夹的 ...

不知道360国内版能防住不，以前的勒索测试有一次国际版防御失败了，国内版却成功了

huangda

happycat 发表于 2018-11-29 09:05
不知道360国内版能防住不，以前的勒索测试有一次国际版防御失败了，国内版却成功了

病毒名称：GandCrab5.0.4变种
病毒性质：勒索病毒
影响范围：国内已有多个医疗机构接连受感染
危害等级：高危
传播方式：通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式传播，不具备内网传播能力。
最新变种仍然主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播，其自身不
具备感染传播能力，不会主动对局域网的其他设备发起攻击，但会加密局域网共享目录文件夹下的文件。

gzmaybe

huangda 发表于 2018-11-29 09:16
病毒名称：GandCrab5.0.4变种
病毒性质：勒索病毒
影响范围：国内已有多个医疗机构接连受感染

这里面有相应的解密工具，你可以试一试

https://www.nomoreransom.org/zh/decryption-tools.html

KK院长

huangda 发表于 2018-11-29 08:30
这边当时确实火绒是开启状态，360国际版也是开启状态，但是确实中了，是自己创建的Windows的共享文件夹的 ...

文档保护加密了就暂时解不了密，如果数据没备份就麻烦了。。。

wowocock

huangda 发表于 2018-11-29 08:30
这边当时确实火绒是开启状态，360国际版也是开启状态，但是确实中了，是自己创建的Windows的共享文件夹的 ...

如果是共享文件夹中了，其他文件没中，那就不是在你自己机器上中的毒，否则文件一个都跑不了。而是在其他机器上中的毒，通过共享文件夹修改了你的共享文件。对于网络共享文件的访问，不是走常规的文件过滤。所以常规的文件过滤监控会漏掉。

wowocock

360主动防御 发表于 2018-11-28 17:02
您好，此类型勒索病毒目前卫士确认可以支持防御，但是暂不支持解密；
为防止勒索病毒入侵电脑，建议正常安 ...

如果是共享文件夹中了，其他文件没中，那就不是在你自己机器上中的毒，否则文件一个都跑不了。而是在其他机器上中的毒，通过共享文件夹修改了你的共享文件。对于网络共享文件的访问，不是走常规的文件过滤。所以常规的文件过滤监控会漏掉。

兔子大大

KK院长 发表于 2018-11-29 09:57
文档保护加密了就暂时解不了密，如果数据没备份就麻烦了。。。

推荐360文档卫士，把重要文件备份起来，这个比电脑管家的文档守护者好用多了，以前的勒索测试360文档卫士防御勒索病毒还比较好，管家的文档守护者就比较弱了

wowocock

对于本地访问共享文件可以通过文件过滤驱动监控捕获共享文件操作的IRP包，通过对IRP的分析可以得到用户操作的文件信息，包括访问进程信息和被访问文件信息，然后根据进程信息及被访问的文件，结合策略来进行相应的处理。
而对于远程共享文件访问则是通过SMB协议进行访问的，当前进程信息为SYSTEM进程，而一般对于SYSTEM进程的访问一般都是直接允许的导致了被漏过。
不过可以通过对中间层网络驱动捕获该协议包进行分析可以获取远程访问的文件信息，访问者和被访问者的ip信息，所以需要结合网络过滤和文件过滤来综合处理，不过比较复杂和麻烦，估计现在大家的防勒索都略过了。