GandCrab v5.0.4 #2 (18.12.03)

显示全部楼层 · 发表于 2018-12-3 13:35:41

GD
exe双击主防拦截
js……双击反勒索拦截，然后系统崩溃

显示全部楼层 · 发表于 2018-12-3 13:52:54

本帖最后由霄栋于 2018-12-3 13:55 编辑

c/mm 发表于 2018-12-3 13:05
BG crab.exe 双击击杀

利用powershell的确实挺麻烦。BD的安全文件功能似乎默认放行powershell，一旦ATD被突破，即使被保护的文件夹也可能被加密。

上次的js也是全靠ATD拦截，至今BD系都没有入库

显示全部楼层 · 发表于 2018-12-3 13:59:45

本帖最后由 con16 于 2018-12-3 14:01 编辑

BD有些入庫確實不快
單靠主防會有點怕

其實這類勒索就是不斷更新新版，來讓防毒查殺處於被動~分析和入庫也要時間
GandCrab 在歐美年底這波真的是大爆發

显示全部楼层 · 发表于 2018-12-3 14:01:22

McAfee 家庭版：
exe：JTI/Suspect.196612!0705f6b81700
js：miss

显示全部楼层 · 发表于 2018-12-3 14:14:51

本帖最后由 c/mm 于 2018-12-3 14:46 编辑

霄栋发表于 2018-12-3 13:52
利用powershell的确实挺麻烦。BD的安全文件功能似乎默认放行powershell，一旦ATD被突破，即使被保护的文 ...

准备去测下其他的软件看看

显示全部楼层 · 发表于 2018-12-3 14:27:53

卡巴free查殺.exe，js miss

显示全部楼层 · 发表于 2018-12-3 14:27:55

本帖最后由 www-tekeze 于 2018-12-3 14:31 编辑

霄栋发表于 2018-12-3 13:52
利用powershell的确实挺麻烦。BD的安全文件功能似乎默认放行powershell，一旦ATD被突破，即使被保护的文 ...

对这个js火绒是扫描杀，靠主防也肯定不行，explorer启动WScript，之后就是powershell，行为杀那误报会很高，估计目前还没哪家有更好的办法。。。勒索面前还是HIPS更保险。。

显示全部楼层 · 发表于 2018-12-3 14:31:16

www-tekeze 发表于 2018-12-3 14:27
对这个js火绒是扫描杀，靠主防也肯定不行，explorer启动WScript，之后就是powershell，行为杀那误报会很 ...

有条件就加规则吧，不惧任何未知勒索。。

显示全部楼层 · 发表于 2018-12-3 16:10:24

JS 脚本红伞依然被过。。EXE文件扫描杀

显示全部楼层 · 发表于 2018-12-3 16:18:48

www-tekeze 发表于 2018-12-3 11:26
双击，第一个弹窗就是主防报勒索。。

你的沙盘是永久授权吗

[病毒样本] GandCrab v5.0.4 #2 (18.12.03)