关于防御当前流行Magniber勒索病毒变种的防护设置

00006666

关于防御当前流行Magniber变种的防护设置

建议开启核晶防护引擎，目前来看没有开启核晶是不能防御该家族样本的，文件会被样本加密。

开启核晶后，会拦截远程线程注入行为，点击阻止操作后会结束样本进程。

1. 时间        操作        说明        次数
   
2. 2022-05-19 21:23:25        [自动处理]          结束进程        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\Windows\System32\msiexec.exe 13E5846A
   
5. 
   
6. 时间        操作        说明        次数
   
7. 2022-05-19 21:23:25        [已阻止]          远程线程注入        防护 1 次
   
8. 详细描述：
   
9. 进程：C:\Windows\System32\msiexec.exe
   
10. 动作：远程线程注入
    
11. 路径：C:\Windows\System32\svchost.exe
    
12. 风险文件：C:\Windows\Installer\MSI6FF7.tmp
    
13. 防护信息: AD|30, 40, -1||

复制代码

日常使用的话建议确保核晶防护处于开启状态，如下图所示，如果是AMD处理器的话那里会显示为AMD。

Shake2333

貌似360是目前少数能防御Magniber的杀软之一

Kingbatsoft

目前用Windows11貌似开不了核晶，看360论坛反馈不少了也没修复

喀反

Kingbatsoft 发表于 2022-5-23 09:00
目前用Windows11貌似开不了核晶，看360论坛反馈不少了也没修复

是开了HVCI的缘故吧

Kingbatsoft

喀反 发表于 2022-5-23 10:17
是开了HVCI的缘故吧

刚刚看了一下没有开HVCI，而且HVCI有27个驱动不兼容

喀反

Kingbatsoft 发表于 2022-5-23 10:22
刚刚看了一下没有开HVCI，而且HVCI有27个驱动不兼容

看看Hyper-V有没有开启

Kingbatsoft

喀反 发表于 2022-5-23 10:28
看看Hyper-V有没有开启

HyperV也没开，因为之前开了HyperV+附属就会开机卡死，不敢开了（
但是装了VMWare

喀反

Kingbatsoft 发表于 2022-5-23 10:32
HyperV也没开，因为之前开了HyperV+附属就会开机卡死，不敢开了（
但是装了VMWare

那可能360还没适配win11

kfne122

谁闲的无聊，去主动运行一个扩展名为msi的程序？

我不建议开何晶

开了核晶，即便是win7都会有问题，比如默认阻止模拟按键，造成一小部分软件不能用。

包括用bat重启explorer之后，explorer界面就显示异常。800年前就说过。

2507455901

Kingbatsoft 发表于 2022-5-23 09:00
目前用Windows11貌似开不了核晶，看360论坛反馈不少了也没修复

可以开啊我win11现在就开着