火绒--勒索防护测试

显示全部楼层 · 发表于 2021-8-7 12:15:04

本帖最后由沧海一声于 2021-8-8 10:56 编辑

测试环境：Win8.1 64位，开启影子系统             火绒仅保留“恶意行为监控”
测试标本：从论坛搜集而来的标本包，有明显加密行为的标本有11个。
            删除无效标本：https://pan.huang1111.cn/s/YbWCA（密码：infected）
测试结果：
1.程序似乎用cmd来执行恶意行为，桌面壁纸变黑，大量文件删除，主防无反应。
2.行为监控和系统加固都提示。
3.FRS病毒：强制退出火绒主程序，弹出勒索信和图片。大量文件变为FRS文件。
4.监控杀。
5.成功加密，火绒无反应。
6..成功加密文件，系统加固仅拦截IE收藏夹。（不过这款勒索比较老，打开的是IE浏览器）

7.主防杀。
8.文件未加密。
9.大量文件夹权限不足，火绒无反应。

10.桌面壁纸变黑，文件成功加密。

11.主防杀。

结果：
有效标本：11个
拦截成功：5个
拦截失败：6个
成功率：45.4%

显示全部楼层 · 发表于 2021-8-7 13:01:12

打卡每日签到

显示全部楼层 · 发表于 2021-8-7 13:06:47

没有图片不行

显示全部楼层 · 发表于 2021-8-7 13:40:15

共计11个，成功5个，失败4个，那还有两个干啥了？

显示全部楼层 · 发表于 2021-8-7 13:58:24

dg1vg4 发表于 2021-8-7 13:40
共计11个，成功5个，失败4个，那还有两个干啥了？

谢谢纠正，已修改

显示全部楼层 · 发表于 2021-8-7 15:58:25

InApproaching 发表于 2021-8-7 13:06
没有图片不行

等一等，图片我在补充了

显示全部楼层 · 发表于 2021-8-7 16:03:50

本帖最后由 huorong 于 2021-8-7 16:32 编辑

Hitman Pro Alert（联网）
1:成功
2：成功
3：成功
4：成功
5：成功
6：病毒弹出cmd窗口动文件时显示拒绝访问，无文件被加密，杀软无动作
7：成功
8：成功
9：成功
10：没安NET4.0，懒得安了
11：成功

排除第十个样本的情况下，10个病毒文件双击后没有文件被加密！

Hitman Pro Alert（断网锁库）
1：成功
2：成功
3：失败，文件被加密
4：成功
5：成功
6：病毒弹出cmd窗口动文件时显示拒绝访问，无文件被加密，杀软无动作
7：成功
8：无文件被加密，杀软无动作
9：成功（没截下来图，sorry）
10：没安NET4.0，懒得安了
11：失败（最后一个好像是wannacry，不要联网）
拦截率：80%

显示全部楼层 · 发表于 2021-8-7 16:08:13

huorong 发表于 2021-8-7 16:03
Hitman Pro Alert
1:成功
2：成功

拦截率太高了吧，是不是只保留主防？

显示全部楼层 · 发表于 2021-8-7 16:09:06

本帖最后由 huorong 于 2021-8-7 16:17 编辑

沧海一声发表于 2021-8-7 16:08
拦截率太高了吧，是不是只保留主防？

黑色背景的窗口就是纯主防拦截的

显示全部楼层 · 发表于 2021-8-7 16:10:59

huorong 发表于 2021-8-7 16:09
hitman pro alert 就只有一个总体的主防开关，关了就啥主防也没有了

这些病毒都不是新毒，肯定会入库的。

[技术原创] 火绒--勒索防护测试

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分