新型#Ransomware (2020-03-25)，过VT一堆杀软！

显示全部楼层 · 发表于 2020-3-25 14:12:54

病毒探索者发表于 2020-3-25 13:24
emmm，其实我是想问原文件（或者说副本）还在（尽管原文件被加密了）是Data Protector的功劳还是sonar的 ...

如果DP没报告就是sonar的结果。
DP有报告就是DP

显示全部楼层 · 发表于 2020-3-25 14:14:20

病毒探索者发表于 2020-3-25 14:11
双击也会触发APC的，不一定不能杀

红伞双击被加密随后APC才杀坑爹啊

显示全部楼层 · 发表于 2020-3-25 14:18:24

，就一个. 发表于 2020-3-25 14:14
红伞双击被加密随后APC才杀坑爹啊

是啊，我以前测的时候也有类似的情况，总是滞后一些，毕竟把数据传到红伞云是需要时间的嘛。
没有回滚就有点惨了

显示全部楼层 · 发表于 2020-3-25 14:19:02

病毒探索者发表于 2020-3-25 14:18
是啊，我以前测的时候也有类似的情况，总是滞后一些，毕竟把数据传到红伞云是需要时间的嘛。
没有回滚就 ...

很尴尬的机制红伞

显示全部楼层 · 发表于 2020-3-25 14:49:31

杰伦Ｊ时代发表于 2020-3-25 14:06
智量拦截了没有？还是被加密了啊?

自己看图看不出来吗？上来加密诱饵，然后就被杀掉了啊，总共只有回收站的3个记录信息的文件被加密

况且这个扫描就能杀，我只是特意又测了一遍双击而已
回帖就不能不一惊一乍的吗。。。

显示全部楼层 · 发表于 2020-3-25 15:22:15

，就一个. 发表于 2020-3-25 14:14
红伞双击被加密随后APC才杀坑爹啊

随后杀的只是衍生物而已。

显示全部楼层 · 发表于 2020-3-25 15:23:06

病毒探索者发表于 2020-3-25 14:11
双击也会触发APC的，不一定不能杀

这是一定不能杀

显示全部楼层 · 发表于 2020-3-25 16:50:14

，就一个. 发表于 2020-3-25 13:34
APC 还是比ESET机器学习牛逼啊 ESET一个都没学习到

可疑文件会在APC上进行聚类分析和沙箱引爆上传的触发阈值还挺低
红伞本地报的HEUR/AGEN.XXXXXX也是机学特征是在云端学习的
ESET的Augur是本地引擎呢...不过不是全量的全量的在云端
其实我没太懂ESET的云利用方式...

显示全部楼层 · 发表于 2020-3-25 16:51:25

杰伦Ｊ时代发表于 2020-3-25 14:08
双击估计拦截不了，查杀可以杀，双击拦截不了，监控也不杀，就扫描杀

那怎么解释部分样本监控扫描不杀双击杀呢

显示全部楼层 · 发表于 2020-3-25 17:16:53

TimelessTT 发表于 2020-3-25 16:51
那怎么解释部分样本监控扫描不杀双击杀呢

咦，那我还是从来没有遇见过呢，真从来没有遇见过

[病毒样本] 新型#Ransomware (2020-03-25)，过VT一堆杀软！