卡巴斯基防御Magniber系列勒索的方案（已失效）

Jirehlov1234

5月27日更新
新版已失效。暂无低误报的解决方案。
首先，目前的Magniber并不是静默传播的，用户需要手动双击文件才可能中毒。所以第一道防线也是最有效的防线，便是用户提高安全意识，不要运行可疑的文件。

如果过了肉眼杀毒，恰好卡巴斯基的扫描还不能检出Magniber，可以如下设置HIPS

打开管理资源-新建注册表对象


选择到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider

选中Type，勾选保护键值


找到C:\Windows\System32\msiexec.exe，权限一栏中找到“运行代码注入”；文件与系统注册表一栏中找到刚才创建的注册表对象的读取权限。
如果是KIS，建议开询问档并打开交互；如果是KES，可以选择阻止，但此处存在兼容性问题。



以上设置可以防御Magniber（除了留下一堆勒索信）。
但并不是通用解，因为正常的msi程序也有可能被拦截。

可以供发烧友玩耍。正常用户只需要注意不下载奇怪的东西即可。如果偏要下载运行，报毒了还主动关闭杀软，那这边的建议是寄

kuroandsan

这边的建议是使用Windows更新（啊不是

hushuai

BD用户哭哭。号称主防在卡巴之上，各大测试略压卡巴一丢丢的的ATD，面对Magniber束手无策，还没有设置项去手动防御。卡巴启发杀就能把大多数magniber变种识别出来，不行还有云拉黑。BD有啥，入库慢，云拉黑慢。如果av-c下一波测试包含magniber变种，那BD将会遭遇滑铁卢

dongwenqi

win7查不到Windows Installer

Jirehlov1234

dongwenqi 发表于 2022-5-20 14:30
win7查不到Windows Installer

取消勾选“隐藏系统程序”

企稳向好

hushuai 发表于 2022-5-20 14:27
BD用户哭哭。号称主防在卡巴之上，各大测试略压卡巴一丢丢的的ATD，面对Magniber束手无策，还没有设置项去 ...

AV-C测试其实不见得能体现出来，你想想Panda和趋势的成绩，再看看样本区表现

lvseqiji

企稳向好 发表于 2022-5-20 15:04
AV-C测试其实不见得能体现出来，你想想Panda和趋势的成绩，再看看样本区表现

趋势还好，panda肯定是有诈

dongwenqi

Jirehlov1234 发表于 2022-5-20 14:32
取消勾选“隐藏系统程序”

有了，看到了

洛梓岚

就是了解到这个病毒，才特意装了下杀毒软件。主要老是搞些pj的小软件

我是风我是风

看来还是kaspersky好