ESET勒索防御测试

huajiajie

henry217 发表于 2021-7-17 21:31
我之前写过4代的C#勒索

eset没有一个报的

提到这个，我的第一印象是EMSISOFT准确的报毒名称

henry217

huajiajie 发表于 2021-7-18 08:17
提到这个，我的第一印象是EMSISOFT准确的报毒名称

啊这……

根据后缀入库

也挺有道理

huajiajie

henry217 发表于 2021-7-18 08:27
啊这……

根据后缀入库

后缀啊，那没事了，我还以为EMSI也上卡饭呢

B100D1E55

henry217 发表于 2021-7-18 07:42
我确实偷懒

还是不报

测了一下v4.0的确是不拦截

唯一的小问题是遍历加密后删除原文件这种做法会导致文件能够恢复。我试了一下加密后的机器可以还原出几乎所有被加密数据。


所以一般ransom还要进行一些文件操作，很容易成为主防特征，反正你懂的，我就不啰嗦了

飘浮

一直在用ESET

InnoriaAlter

B100D1E55 发表于 2021-7-18 03:25
用户基数一大，一个小误报可能会扩散成整场灾难……不过总体来说他们的确比较偏执于低误报

感觉他们应该换一下开发思路了

B100D1E55

勒索防御测试附录：

既然知道了正确的测试姿势，这里略微测试一下以往的勒索程序看看ESET的勒索护盾是否起作用
【新提醒】Ransomware 1X_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A5家族，文件未加密

Ransom.wannacry (2021-06-30)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A5家族，壁纸被篡改，文件未加密

Ransomware 1X（Hakbit/yourdata家族，后缀为hauhitec）_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为B3家族，文件未加密

Ransom.sodinokibi (2021-06-23)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A5家族，部分文件被加密

Ransom.Lock (2021-06-23)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检测为A3家族，壁纸被修改，文件未加密

Ransom.teslacrypt (2021-06-24)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

进程持续挂起，没细看究竟是什么问题

Ransom.arrow (2021-05-20)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

关闭实时监控和AMS仍旧会在内存内检出Crysis家族后kill

Ransom.avaddon (2021-05-21)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

必须要关闭实时监控和AMS否则会被kill，关闭后文件被加密。
因为这个程序是个kryptik，这里猜测是因为落地文件的LiveGrid记录很旧，于是勒索护盾躺平

Ransom.Nitro (2021-05-24)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)

必须要关闭实时监控和AMS否则会被kill，关闭后文件被加密。

因为这个程序是个kryptik，这里猜测是因为落地文件的LiveGrid记录很旧，于是勒索护盾躺平

Ransom (2021-05-22)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检出为A5家族

Ransom.tohnichi (2021-06-16)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检出为A3家族，部分文件被加密（需要关闭实时防御和AMS）

Ransom.mansory (2021-06-17)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



检出为A5家族，没有文件加密
Ransom.chaos (2021-07-18)_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



得把payload提取出来再修改再关闭实时监控才能绕过前置层被勒索防护查杀，A5家族


经典再现
Locky_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



报C1家族

Cerber（17.10.09）_病毒样本 分享&分析区_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)



报C1家族



测不动了，先这样吧

Virus4

卡了，重复编辑。

Virus4

InnoriaAlter 发表于 2021-7-18 10:20
感觉他们应该换一下开发思路了

我觉得这种思路还是没问题的，误报这东西我是觉得就跟狼来了一样，杀软至少得做到用户看见报毒是觉得： 这杀软一般不误报，9成9 是这文件有问题。

稍微有几次误报，下一次就容易上了“本文件安全，杀软报毒均属误报，不喜欢可以不用” 的套了。
具体策略的实现之后的误报水平我觉得他们应该是有好好考量过的倒是。

但具体说可以在保持低误报以后，还能保持多高的侦测，就看厂商的技术水平了。

InnoriaAlter

Virus4 发表于 2021-7-18 10:49
我觉得这种思路还是没问题的，误报这东西我是觉得就跟狼来了一样，杀软至少得做到用户看见报毒是觉得：  ...

乃多回复了一个...编辑一下吧
————————————————————————————
开发思路是没有问题的...就是觉得他们太注重压误报导致遇到一些未知的东西没法及时检测出来...也可以这么说，成也误报率，失也误报率

当然平时只要不玩毒不随意双击还是没什么问题的