楼主: B100D1E55
收起左侧

[分享] ESET勒索防御测试

  [复制链接]
huajiajie
发表于 2021-7-18 08:17:25 | 显示全部楼层
henry217 发表于 2021-7-17 21:31
我之前写过4代的C#勒索

eset没有一个报的

提到这个,我的第一印象是EMSISOFT准确的报毒名称
henry217
发表于 2021-7-18 08:27:13 | 显示全部楼层
huajiajie 发表于 2021-7-18 08:17
提到这个,我的第一印象是EMSISOFT准确的报毒名称

啊这……

根据后缀入库

也挺有道理
huajiajie
发表于 2021-7-18 08:42:40 | 显示全部楼层
本帖最后由 huajiajie 于 2021-7-18 08:45 编辑
henry217 发表于 2021-7-18 08:27
啊这……

根据后缀入库

后缀啊,那没事了,我还以为EMSI也上卡饭呢
B100D1E55
 楼主| 发表于 2021-7-18 08:47:24 | 显示全部楼层
henry217 发表于 2021-7-18 07:42
我确实偷懒

还是不报

测了一下v4.0的确是不拦截

唯一的小问题是遍历加密后删除原文件这种做法会导致文件能够恢复。我试了一下加密后的机器可以还原出几乎所有被加密数据。


所以一般ransom还要进行一些文件操作,很容易成为主防特征,反正你懂的,我就不啰嗦了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
飘浮
发表于 2021-7-18 09:06:58 | 显示全部楼层
一直在用ESET
InnoriaAlter
头像被屏蔽
发表于 2021-7-18 10:20:13 | 显示全部楼层
B100D1E55 发表于 2021-7-18 03:25
用户基数一大,一个小误报可能会扩散成整场灾难……不过总体来说他们的确比较偏执于低误报

感觉他们应该换一下开发思路了
B100D1E55
 楼主| 发表于 2021-7-18 10:31:13 | 显示全部楼层
本帖最后由 B100D1E55 于 2021-7-19 07:26 编辑

勒索防御测试附录:

既然知道了正确的测试姿势,这里略微测试一下以往的勒索程序看看ESET的勒索护盾是否起作用
【新提醒】Ransomware 1X_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A5家族,文件未加密

Ransom.wannacry (2021-06-30)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A5家族,壁纸被篡改,文件未加密

Ransomware 1X(Hakbit/yourdata家族,后缀为hauhitec)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为B3家族,文件未加密

Ransom.sodinokibi (2021-06-23)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A5家族,部分文件被加密

Ransom.Lock (2021-06-23)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A3家族,壁纸被修改,文件未加密

Ransom.teslacrypt (2021-06-24)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

进程持续挂起,没细看究竟是什么问题

Ransom.arrow (2021-05-20)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

关闭实时监控和AMS仍旧会在内存内检出Crysis家族后kill

Ransom.avaddon (2021-05-21)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

必须要关闭实时监控和AMS否则会被kill,关闭后文件被加密。
因为这个程序是个kryptik,这里猜测是因为落地文件的LiveGrid记录很旧,于是勒索护盾躺平

Ransom.Nitro (2021-05-24)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

必须要关闭实时监控和AMS否则会被kill,关闭后文件被加密。

因为这个程序是个kryptik,这里猜测是因为落地文件的LiveGrid记录很旧,于是勒索护盾躺平

Ransom (2021-05-22)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检出为A5家族

Ransom.tohnichi (2021-06-16)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检出为A3家族,部分文件被加密(需要关闭实时防御和AMS)

Ransom.mansory (2021-06-17)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检出为A5家族,没有文件加密
Ransom.chaos (2021-07-18)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



得把payload提取出来再修改再关闭实时监控才能绕过前置层被勒索防护查杀,A5家族


经典再现
Locky_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



报C1家族

Cerber(17.10.09)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



报C1家族



测不动了,先这样吧


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +40 分享 +3 人气 +7 收起 理由
屁颠屁颠 + 40 + 3 + 3 版区有你更精彩: )
aboringman + 1
Virus4 + 3 看来还是有点作用的233

查看全部评分

Virus4
发表于 2021-7-18 10:49:09 | 显示全部楼层
本帖最后由 Virus4 于 2021-7-18 10:50 编辑

卡了,重复编辑。

评分

参与人数 1人气 +1 收起 理由
B100D1E55 + 1 赞同

查看全部评分

Virus4
发表于 2021-7-18 10:49:29 | 显示全部楼层
本帖最后由 Virus4 于 2021-7-18 10:58 编辑
InnoriaAlter 发表于 2021-7-18 10:20
感觉他们应该换一下开发思路了

我觉得这种思路还是没问题的,误报这东西我是觉得就跟狼来了一样,杀软至少得做到用户看见报毒是觉得: 这杀软一般不误报,9成9 是这文件有问题。

稍微有几次误报,下一次就容易上了“本文件安全,杀软报毒均属误报,不喜欢可以不用” 的套了。
具体策略的实现之后的误报水平我觉得他们应该是有好好考量过的倒是。

但具体说可以在保持低误报以后,还能保持多高的侦测,就看厂商的技术水平了。


评分

参与人数 1人气 +2 收起 理由
InnoriaAlter + 2 感谢解答: )

查看全部评分

InnoriaAlter
头像被屏蔽
发表于 2021-7-18 10:53:27 | 显示全部楼层
本帖最后由 InnoriaAlter 于 2021-7-18 10:56 编辑
Virus4 发表于 2021-7-18 10:49
我觉得这种思路还是没问题的,误报这东西我是觉得就跟狼来了一样,杀软至少得做到用户看见报毒是觉得:  ...

乃多回复了一个...编辑一下吧
————————————————————————————
开发思路是没有问题的...就是觉得他们太注重压误报导致遇到一些未知的东西没法及时检测出来...也可以这么说,成也误报率,失也误报率

当然平时只要不玩毒不随意双击还是没什么问题的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 09:38 , Processed in 0.105644 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表