新型#Ransomware (2020-03-25)，过VT一堆杀软！

显示全部楼层 · 发表于 2020-3-25 17:32:57

TimelessTT 发表于 2020-3-25 16:50
可疑文件会在APC上进行聚类分析和沙箱引爆上传的触发阈值还挺低
红伞本地报的HEUR/AGEN.XXXXXX也是机学 ...

ESET的云蛮简单的
本地检测到新文件自动上云
手动上传的也一样。
然后就自动机跑，跑出来有问题就拉黑了

显示全部楼层 · 发表于 2020-3-25 17:45:13

杰伦Ｊ时代发表于 2020-3-25 17:16
咦，那我还是从来没有遇见过呢，真从来没有遇见过

https://bbs.kafan.cn/thread-2176611-1-1.html 看五楼
目前看来 (cloud) 结尾的报毒是双击才能触发的应该和行为特征相关可能样本跑出行为才报毒
我不太清楚这种报法和pro版特有的传感器检测有没有直接关系

显示全部楼层 · 发表于 2020-3-25 17:46:35

病毒探索者发表于 2020-3-25 14:11
双击也会触发APC的，不一定不能杀

想请问一下层主在这个帖里 https://bbs.kafan.cn/thread-2176611-1-1.html（5L）
用的是Free版的红伞还是Pro版红伞呢...

显示全部楼层 · 发表于 2020-3-25 17:49:10

TimelessTT 发表于 2020-3-25 17:45
https://bbs.kafan.cn/thread-2176611-1-1.html 看五楼
目前看来 (cloud) 结尾的报毒是双击才能触发的 ...

不不不。，他下面的几种报发都是扫描跟监控的截图。

显示全部楼层 · 发表于 2020-3-25 17:53:46

Miostartos 发表于 2020-3-25 17:32
ESET的云蛮简单的
本地检测到新文件自动上云
手动上传的也一样。

我看ESET云响应有时候还挺快的不过检测可能还是比较保守

显示全部楼层 · 发表于 2020-3-25 17:55:30

TimelessTT 发表于 2020-3-25 17:53
我看ESET云响应有时候还挺快的不过检测可能还是比较保守

动作大的话一般一个小时就拉黑了。
检测确实比较保守。

显示全部楼层 · 发表于 2020-3-25 17:57:31

Miostartos 发表于 2020-3-25 17:55
动作大的话一般一个小时就拉黑了。
检测确实比较保守。

检测不那么保守的话，估计查杀率都世界第一了

显示全部楼层 · 发表于 2020-3-25 18:04:34

杰伦Ｊ时代发表于 2020-3-25 17:49
不不不。，他下面的几种报发都是扫描跟监控的截图。

层主已经说明了是扫描+双击了
并且请看图4和图2、3比较
图4是ZProtect内五个样本的扫描结果
那图2、3是啥

显示全部楼层 · 发表于 2020-3-25 18:29:24

QVM360 发表于 2020-3-25 17:57
检测不那么保守的话，估计查杀率都世界第一了

对ESET是又爱又恨

显示全部楼层 · 发表于 2020-3-25 18:30:37

TimelessTT 发表于 2020-3-25 17:46
想请问一下层主在这个帖里 https://bbs.kafan.cn/thread-2176611-1-1.html（5L）
用的是Free版的红伞还 ...

是Pro版本的

[病毒样本] 新型#Ransomware (2020-03-25)，过VT一堆杀软！