#AgentTesla #Suspicious Capesand CryptoLocker

显示全部楼层 · 发表于 2020-3-17 10:12:11

54ss 发表于 2020-3-17 10:09
逃不出ATD

逃是肯定逃不过的，只求别部分加密，没有回滚再来这一套就要命了

显示全部楼层 · 发表于 2020-3-17 12:06:56

本帖最后由 YorkWaugh 于 2020-3-17 12:09 编辑

火绒又miss

竟然上推特找病毒，666

显示全部楼层 · 发表于 2020-3-17 13:04:57

温馨小屋发表于 2020-3-17 10:12
逃是肯定逃不过的，只求别部分加密，没有回滚再来这一套就要命了

勒索恢复可以回滚的

显示全部楼层 · 发表于 2020-3-17 13:08:46

温馨小屋发表于 2020-3-17 10:07
BD

The file C:%users\vmhyper\Desktop\rEP1O3OlIL.exe is infected with Gen:Heur.Zatk.zm0@bS2mQ1f ...

EMSISOFT
看来BD 入库了

BD就不测了

显示全部楼层 · 发表于 2020-3-17 13:30:36

微软扫描不报。

显示全部楼层 · 发表于 2020-3-17 13:47:25

病毒探索者发表于 2020-3-17 13:04
勒索恢复可以回滚的

勒索恢复并不是总触发的，没触发勒索恢复的勒索也有不少，最早的勒索恢复非常激进，连IDM都杀，现在也越来越萎缩了。

ATD和勒索恢复是两个组件，各自为战，不像卡巴那样PDM杀了就能回滚，光ATD杀没有回滚，得勒索保护杀才行。这一周我记得见过好几个ATD部分加密了。

显示全部楼层 · 发表于 2020-3-17 13:50:05

温馨小屋发表于 2020-3-17 13:47
勒索恢复并不是总触发的，没触发勒索恢复的勒索也有不少，最早的勒索恢复非常激进，连IDM都杀，现在也越 ...

这个我知道

一年前测的时候，单开勒索保护都能抵挡绝大部分勒索，也有回滚。
现在可能降低灵敏度了。。。

显示全部楼层 · 发表于 2020-3-17 13:55:59

病毒探索者发表于 2020-3-17 13:50
这个我知道
一年前测的时候，单开勒索保护都能抵挡绝大部分勒索，也有回滚。
现在可能降低灵敏度 ...

这个回滚也是只备份文档类型的文件，不常见类型文件被加密直接GG，早期勒索保护误报太高，没办法，2015年的AVC也比现在猛多了。Safe file大法好

显示全部楼层 · 发表于 2020-3-17 14:05:02

温馨小屋发表于 2020-3-17 13:55
这个回滚也是只备份文档类型的文件，不常见类型文件被加密直接GG，早期勒索保护误报太高，没办法，2015年 ...

对，还是安全文件靠谱，一动就被拦

显示全部楼层 · 发表于 2020-3-17 14:05:58

趋势scan miss
双击没行为

[病毒样本] #AgentTesla #Suspicious Capesand CryptoLocker