LockerGogaRansomware (19.03.09)

lastpass

霄栋 发表于 2019-3-9 18:59
ESET入库了，仅关闭监控，双击，AMS/勒索护盾/深度行为防御均无反应，文件被加密

这样测试合理吗？

海颜贝儿 发表于 2019-3-9 23:25
这样测试合理吗？

严格来说当然不合理，eset的多层防护体系中，检测引擎和特征库自然是非常重要的防护层。我只是很好奇新出的多步主防效果如何，而eset的检出率使得很难找到适合的未检出样本测试主防，所以我特意关闭了文件监控进行测试。正常情况下eset当然是可以防御这个样本的，只是主防目前看来可能还没有覆盖这类样本的检测。

B100D1E55

霄栋 发表于 2019-3-10 00:33
严格来说当然不合理，eset的多层防护体系中，检测引擎和特征库自然是非常重要的防护层。我只是很好奇新出 ...

之前官方说过关了文件实时监控勒索防护就废了，因为勒索防护一些监控点依赖于文件实时监控……
当然就这个样本而言，因为行为比较邪我估计入库前是云拉黑而不是HIPS阻挡

kaba666

卡巴官方已经回复，各位更新数据库

xingkong520

本文件通过卡电脑cpu以及内存来实现杀软对其侦测的拖延，从而使其能够加密更多文件，很多人在测试卡巴斯基免费版或者收费版本时会发现防御拦截失败，这是因为卡顿使卡巴主防拦截点滞后所致，正如@静影沉璧 所说，极有可能事是文档数量过少，以至于在拦截点之前就已经加密完成，导致卡巴拦截失效，当然，如果杀软不带回滚，会损失一部分文件随后防御成功（启发式分析除外，自定义规则除外），纯粹利用杀软让出资源给主机实行加密动作，非常恶心的病毒。

lastpass

霄栋 发表于 2019-3-10 00:33
严格来说当然不合理，eset的多层防护体系中，检测引擎和特征库自然是非常重要的防护层。我只是很好奇新出 ...

防御一般是同时联动配合的，这次看来hips层并没有拦截，不知道是否是依赖实时防护的一些功能。

hsmAllen

avast行为防护杀
数字签名来自sectigo rsa！comodo
沙盒需要管理员权限，不敢运行

haol

www-tekeze 发表于 2019-3-9 16:40
刚注意，芬安全和司机都翻车了，看19楼、21楼。。。@huang1111

FSP可阻擋
但是FCS 13.11漏了

记录微笑

xingkong520 发表于 2019-3-10 10:47
本文件通过卡电脑cpu以及内存来实现杀软对其侦测的拖延，从而使其能够加密更多文件，很多人在测试卡巴斯基 ...

卡巴默认是备份所有被修改的可疑文件，所以一旦触发回滚直接会回滚所有备份的文件，就算占用再大杀软的底线还是会有的。
而且杀软占内存有一大部分是病毒库，既然扫描没检出部分病毒库退出内存也无妨。

zpilwx

现在能杀了吗？