Powershell.Freezing (19.06.27)

www-tekeze

www-tekeze 发表于 2019-6-28 00:27
智量入库杀，火绒miss，有空双击。。

双击，首先火绒拦截调用powersheel，允许后闪过一个命令出错窗口，然后进程自动退出，绒智主防均无反应。。

温馨小屋

kaba666 发表于 2019-6-27 23:48
这话不能这么去说，卡巴斯基自动模式和手动模式还是有区别的，比如自动模式下什么都交给卡巴处理了，你基 ...

你以为防火墙没有提示就是摆设？建议你多学学再说话，你当尤金是傻子？人家不知道比你高到哪去了

KFA和KIS主要差在应用程序控制和防火墙，防火墙可以控制一些基本协议包的传输，可以避免一部分黑客的嗅探行为，避免用户隐私信息被获取，还可以配合应用程序控制来限制程序联网，诺顿也是这个思路，会通过云联动或者分析来限制高危程序联网，避免用户数据泄露，再说我还可以在应用程序控制里禁止特定程序行为，比如禁止启动搜狗的广告弹窗，禁止被破解的软件联网验证激活码等，反广告也是格外的好用，很多百度联盟的广告都没有了，没有防火墙那根KAV还有啥区别，那些设置我可以一次性设定完成，但是每次都点弹窗是不可接受的

kaba666

温馨小屋 发表于 2019-6-28 00:42
你以为防火墙没有提示就是摆设？建议你多学学再说话，你当尤金是傻子？人家不知道比你高到哪去了

KFA ...

说白了，你还是想自定义，并不是你说的自动模式！

huang1111

kaba666 发表于 2019-6-27 21:53
就算储存在本地，再加密，你有多少硬盘来装备本文件！包括系统，还有其它盘的东西，每个人电脑上的数据容 ...

首先，第一点，勒索的加密文件后缀名不是全部文件，而是一些储存信息的文件，比如doc，ppt之类的文件，这些文件通常占用并不会很大，而且现在的硬盘规格并不会发生你所谓的储存容量问题，当然，如果真的发生本问题，你可以尝试一下卡巴斯基会不会有解决对策
很多杀软应对勒索都是通过这个方式，本方式目前而言是非常稳定的一种应对勒索的方式，你不需要标新立异，这就是一个事实
还有一点关于你所谓你自己备份的问题，原理和杀软是一样的，但是你的备份必须是在有保护的前提之下或者储存到另外的设备中进行，不然勒索软件仍然会把你备份的文件一起加密
真实情况远比本论坛出现的样本复杂，我们的样本大多没有完整的数签以及早已被杀软入库，实际上随便加一个正版强壳，卡巴斯基是根本扫描不出的，这时候还是看主动防御的策略，你不需要去你认为，我再说一句，事实就是如此，请多看少说，谢谢

www-tekeze

www-tekeze 发表于 2019-6-28 00:37
双击，首先火绒拦截调用powersheel，允许后闪过一个命令出错窗口，然后进程自动退出，绒智主防均无反应。 ...

昨晚是在虚拟机Win7里双击，运行出错，没出现实质性危害。。。现在是LTSC实机里双击。。。

首先还是火绒拦截调用powershell，允许后出现智量文档保护的拦截，如果不终止（只是点右上角X关闭），后果非常严重！！
因为样本不加密隐藏文件，所以火绒勒索诱捕被绕过。。
但让人失望的是，整个盘13个诱饵文件夹被全部加密，可智量主防全程没反应！   @智量官方
这个样本不仅加密通常的文档，对配置文件、dat文件也不放过，so，电脑上大部分应用被破坏。。

KLGOD

温馨小屋 发表于 2019-6-27 17:25
KIS2019，PDM杀

需要先以管理员运行powershell关闭脚本保护策略，然后再用powershell运行此脚本。桌面 ...

你回滚了 我回滚失败 电脑桌面被加密

wowocock

powershell 建议一般人都禁止了，这玩意简直就是病毒，木马的新温床，新乐园。

zghnsy127

为啥我win7  x86右键管理员运行  一个黑窗闪过就没有反应了？只针对win10？

智量官方

www-tekeze 发表于 2019-6-28 10:34
昨晚是在虚拟机Win7里双击，运行出错，没出现实质性危害。。。现在是LTSC实机里双击。。。

首先还是火 ...

这个样本我们昨天测试过了，是可以拦截的, 我们在Win7 X64下测试的，操作步骤:

1. 管理员权限启动PowerShell.
2. 执行set-ExecutionPolicy RemoteSigned 允许未签名脚本执行.
3. 切换到病毒所在目录下执行脚本.

马上就会被智量拦截，没有任何文件被加密:



我们会在Win10下再测试一下，应该不会有区别

火绒工程师

您好，我们本地测试一下，感谢您的反馈~