查看: 5103|回复: 10
收起左侧

[交流探讨] 卡巴斯基防御Magniber系列勒索的方案(已失效)

[复制链接]
Jirehlov1234
发表于 2022-5-20 14:15:31 | 显示全部楼层 |阅读模式
本帖最后由 Jirehlov1234 于 2022-5-27 13:46 编辑

5月27日更新
新版已失效。暂无低误报的解决方案。
首先,目前的Magniber并不是静默传播的,用户需要手动双击文件才可能中毒。所以第一道防线也是最有效的防线,便是用户提高安全意识,不要运行可疑的文件。

如果过了肉眼杀毒,恰好卡巴斯基的扫描还不能检出Magniber,可以如下设置HIPS

打开管理资源-新建注册表对象


选择到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider

选中Type,勾选保护键值
Screenshot 2022-05-20 060202.png

找到C:\Windows\System32\msiexec.exe,权限一栏中找到“运行代码注入”;文件与系统注册表一栏中找到刚才创建的注册表对象的读取权限
如果是KIS,建议开询问档并打开交互;如果是KES,可以选择阻止,但此处存在兼容性问题



以上设置可以防御Magniber(除了留下一堆勒索信)。
但并不是通用解,因为正常的msi程序也有可能被拦截

可以供发烧友玩耍。正常用户只需要注意不下载奇怪的东西即可。如果偏要下载运行,报毒了还主动关闭杀软,那这边的建议是寄

评分

参与人数 2分享 +3 人气 +3 收起 理由
屁颠屁颠 + 3 版区有你更精彩: )
dongwenqi + 3 版区有你更精彩: )

查看全部评分

kuroandsan
发表于 2022-5-20 14:20:11 | 显示全部楼层
这边的建议是使用Windows更新(啊不是
hushuai
发表于 2022-5-20 14:27:36 来自手机 | 显示全部楼层
BD用户哭哭。号称主防在卡巴之上,各大测试略压卡巴一丢丢的的ATD,面对Magniber束手无策,还没有设置项去手动防御。卡巴启发杀就能把大多数magniber变种识别出来,不行还有云拉黑。BD有啥,入库慢,云拉黑慢。如果av-c下一波测试包含magniber变种,那BD将会遭遇滑铁卢
dongwenqi
发表于 2022-5-20 14:30:11 | 显示全部楼层
win7查不到Windows Installer
Jirehlov1234
 楼主| 发表于 2022-5-20 14:32:50 | 显示全部楼层
dongwenqi 发表于 2022-5-20 14:30
win7查不到Windows Installer

取消勾选“隐藏系统程序”
企稳向好
发表于 2022-5-20 15:04:08 | 显示全部楼层
hushuai 发表于 2022-5-20 14:27
BD用户哭哭。号称主防在卡巴之上,各大测试略压卡巴一丢丢的的ATD,面对Magniber束手无策,还没有设置项去 ...

AV-C测试其实不见得能体现出来,你想想Panda和趋势的成绩,再看看样本区表现
lvseqiji
发表于 2022-5-20 15:07:17 | 显示全部楼层
企稳向好 发表于 2022-5-20 15:04
AV-C测试其实不见得能体现出来,你想想Panda和趋势的成绩,再看看样本区表现

趋势还好,panda肯定是有诈
dongwenqi
发表于 2022-5-20 15:24:18 | 显示全部楼层
Jirehlov1234 发表于 2022-5-20 14:32
取消勾选“隐藏系统程序”

有了,看到了
洛梓岚
发表于 2022-5-20 15:52:57 | 显示全部楼层
就是了解到这个病毒,才特意装了下杀毒软件。主要老是搞些pj的小软件
我是风我是风
发表于 2022-5-20 16:07:17 | 显示全部楼层
看来还是kaspersky好
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:14 , Processed in 0.139849 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表