楼主: petr0vic
收起左侧

[病毒样本] GandCrab v5.0.4 (18.12.30)

[复制链接]
www-tekeze
发表于 2018-12-30 21:32:05 | 显示全部楼层
火绒已做通杀,智量Heur清空。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
petr0vic
 楼主| 发表于 2018-12-30 21:35:56 | 显示全部楼层
c/mm
发表于 2018-12-30 21:40:38 | 显示全部楼层
本帖最后由 c/mm 于 2018-12-30 22:29 编辑

avast 双击 KILL 2X


Avira 扫描KILL 2X



F-secure 双击杀



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
dg1vg4
发表于 2018-12-30 21:44:20 | 显示全部楼层
本帖最后由 dg1vg4 于 2018-12-30 21:46 编辑

瑞星安全云终端 kill all

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Jerry.Lin
发表于 2018-12-30 22:31:33 | 显示全部楼层
Dr.web SCAN MISS ALL
BE_HC
发表于 2018-12-31 09:33:10 | 显示全部楼层
Norton SONAR Kill All





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心心相印
发表于 2018-12-31 11:45:28 | 显示全部楼层
bd kill all
Jerry.Lin
发表于 2018-12-31 11:56:02 | 显示全部楼层
FSP
  1. 原因: Trojan.TR/AD.GandCrab.ikyxr
  2. 原因: TR/Crypt.XPACK.0a43df
复制代码
275751198
发表于 2018-12-31 14:29:01 | 显示全部楼层
海颜贝儿 发表于 2018-12-30 21:24
金山毒霸扫描全miss,诱捕拦截再次成功,没有被加密,经过这几天的测试,金山毒霸只要把诱捕打开就可以免疫勒索 ...

在勒索病毒刚刚面世的时候,这种策略我曾经跟360的工作人员提过。360工作人员回复:我们不搞这种小聪明。这个东西很容易被破解。后来国外就有随机加密的病毒出现了。
这种策略的痛点在于,要保证诱饵文件位于整个磁盘的前端,当加密勒索开始遍历磁盘加密文档的时候,可以较早识别并阻止。否则如果把诱饵文件放在后面,等到加密到诱饵文件的时候,前面的诸多文件已经被加密过了。想绕过这个策略也非常简单,只要勒索病毒不再按顺序加密 进行随机加密,就会导致用户的部分文档在病毒被阻止之前就已经被加密了。
www-tekeze
发表于 2018-12-31 23:50:34 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-12-31 23:54 编辑
275751198 发表于 2018-12-31 14:29
在勒索病毒刚刚面世的时候,这种策略我曾经跟360的工作人员提过。360工作人员回复:我们不搞这种小聪明。 ...

还有两个问题:

1. 为了不碍用户的眼,诱饵通常都是隐藏的,但不少勒索并不加密隐藏文件,所以诱饵并不会被触发。
2. 有些会加密隐藏文件的,诱饵仍然可能被绕过,我碰到好几例了,估计是因为诱饵文件是在同一时间瞬间形成,所以修改日期完全相同,但真正的文件夹不可能这样,所以勒索遍历或加密时可以把这种文件夹略过,诱饵也就不会被触发。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 20:38 , Processed in 0.103515 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表