自制勒索V3.0

fzp070

温馨小屋 发表于 2021-5-4 21:48
他的怎么火了，我的怎么无人问津

哈哈，可能需将你卡饭名【温馨小屋】改成英文数字等非中文，才好记录吧

Nocria

Virus4 发表于 2021-5-4 23:11
这是想恰独食？

也许吧

tomochan

浪里个浪9527 发表于 2021-5-4 19:16
小A双击直接搞掉

filerepmalware不是行为主防，信誉而已，俗称拉黑...不参与监控，除非你去主动扫描它或者运行的时候会拦截
主防拦截的时候报IDP或者直接进Cybercapture分析后拦截

温馨小屋

fzp070 发表于 2021-5-5 02:51
哈哈，可能需将你卡饭名【温馨小屋】改成英文数字等非中文，才好记录吧

可是现在改不了啊


可能jar格式的毒很多厂商都不敏感，Norton的DP就根本不防jar样本，防exe倒是效果不错。到现在入库的厂商都没几个，大家的文件格式歧视还是比较严重

wwwab

温馨小屋 发表于 2021-5-5 10:23
可是现在改不了啊

其实也不能说是文件格式歧视
因为有些杀软本来就不杀无法直接运行的程序，或者就是要特殊运行库的程序。比如说.jar没java就运行不了，而且Java用的人也不是很多。再比如说.e，易语言模块，没易语言就根本运行不了，一般不容易中毒。

秋日之殇

wwwab 发表于 2021-5-5 11:43
其实也不能说是文件格式歧视
因为有些杀软本来就不杀无法直接运行的程序，或者就是要特殊运行库的程序。 ...

都是世界级的反病毒厂商，用户都是以千万甚至以亿计，在庞大的基数下哪有什么用的人不多这种说法？

Shake2333

eset行为侦测被过

暗_黑

54ss 发表于 2021-5-4 23:40
BDTS在我的虚拟机里，没有沙盒，没有完美防御……
我机器有问题？
BTW 期待4.0！

可能环境问题吧，我这里测试没有文件被加密

温馨小屋

wwwab 发表于 2021-5-5 11:43
其实也不能说是文件格式歧视
因为有些杀软本来就不杀无法直接运行的程序，或者就是要特殊运行库的程序。 ...

所以无法直接运行的威胁就不算威胁了？真无法运行的不拉黑可以理解，可是在某些场合可以执行并造成危害的，类似的行为直接被无视，那只能说明厂商样本收集广度不够。


如果已知攻击目标是存在Java环境的话，那jar文件就具有极高的风险，Java的装机量可是比e语言多得多，如果这种样本不进行分析入库的话，那我如何相信这个杀软在面临复杂威胁的攻击时能保护我？毕竟有些攻击者就喜欢用奇奇怪怪的小众语言和可执行方式

henry217

温馨小屋 发表于 2021-5-5 15:44
所以无法直接运行的威胁就不算威胁了？真无法运行的不拉黑可以理解，可是在某些场合可以执行并造成危害的 ...

小众语言确实

启发基本上完蛋

只能靠行为杀