GandCrab5.2 (19.03.25)

显示全部楼层 · 发表于 2019-3-25 12:57:46

fsp kill,运行报毒

显示全部楼层 · 发表于 2019-3-25 12:57:54

www-tekeze 发表于 2019-3-25 12:49
嗯，It's very very good，欢迎给大家上点图。。

调成交互手都点酸了吧，谁会想上图啊

显示全部楼层 · 发表于 2019-3-25 12:58:08

Panda Dome
扫描全过。
exe双击拦截。
bat双击中招……进程监视器提示高风险但没有反应，也无法手动阻断。不过倒是杀了只衍生物。

显示全部楼层 · 发表于 2019-3-25 13:30:45

www-tekeze 发表于 2019-3-25 11:49
双击.bat，调用cmd、powershell、联网，但很失望，即使开启勒索诱捕，火绒全程没反应，只能靠文档保护规 ...

收到，我们看一下~

显示全部楼层 · 发表于 2019-3-25 13:59:59

火绒工程师发表于 2019-3-25 13:30
收到，我们看一下~

57版火绒（没加自定义规则），单步拦截有两项，但“隐藏执行powershell”不及时结束进程，就没机会了，开启诱捕还是没用，全盘中招。。。今天出公测版，到时再试试，还不行准备回火绒论坛发帖。。

显示全部楼层 · 发表于 2019-3-25 14:01:21

www-tekeze 发表于 2019-3-25 13:59
57版火绒（没加自定义规则），单步拦截有两项，但“隐藏执行powershell”不及时结束进程，就没机会了，开 ...

好的，有问题随时反馈~

显示全部楼层 · 发表于 2019-3-25 14:11:02

www-tekeze 发表于 2019-3-25 13:59
57版火绒（没加自定义规则），单步拦截有两项，但“隐藏执行powershell”不及时结束进程，就没机会了，开 ...

您好，该样本可以被新版火绒5.0中的勒索行为诱捕功能拦截，还可以被常规行为分析规则命中，前期泄露的安装包规则尚不完善，请在外网公测后再进行测试哦。

显示全部楼层 · 发表于 2019-3-25 14:17:10

火绒工程师发表于 2019-3-25 14:11
您好，该样本可以被新版火绒5.0中的勒索行为诱捕功能拦截，还可以被常规行为分析规则命中，前期泄露的安 ...

第二次了，那个57内测版真有问题。。。公测版没问题就行。。

官人，啥时公测呢，选好良辰吉时了么。。

显示全部楼层 · 发表于 2019-3-25 14:33:17

www-tekeze 发表于 2019-3-25 12:10
这几天升级很蛋疼。。。
kill exe，miss bat，双击中招，全程没反应。。 E家也得加规则，否则。 ...

eset12.1正式版测试了，内存报毒，d盘部分文件被加密，看日志深度行为检测没有被触发

显示全部楼层 · 发表于 2019-3-25 14:48:42

www-tekeze 发表于 2019-3-25 12:46
不是首次更新，二天前的的快照，升级文件还不到2MB，慢慢慢。。。12.1装了后实时防护无法开启，又回12.0. ...

eset最新测试版启动秒删，文件未受到加密感染

[病毒样本] GandCrab5.2 (19.03.25)