#Ransom

lexsm

bananas12138 发表于 2022-5-22 01:25
7z文件被加密
火绒加密完了再拦截

应该是火绒老问题了，我实体机性能好加密3个就拦了，虚拟机跑完了都没什么反映

huangzihang

anthonyqian 发表于 2022-5-22 01:21
用不到MDE，一般版本的MD即可拦截

我甚至一度怀疑MDE是白名单, 杀破解和杀毒一样猛真激进，除了对官网安装包和常用企业格式(cad, pptx等)友善一点，灰色软件/绿色版/破解直接咔擦...就连确认安全仅仅只是无效数字签名+魔改授权文件的IDM都杀

anthonyqian

huangzihang 发表于 2022-5-22 01:27
我甚至一度怀疑MDE是白名单, 杀破解和杀毒一样猛真激进，除了对官网安装包和常用企业格式(cad, ppt ...

早就看出来了 MDE基本就是非白即黑了 和超敏感模式的趋势很像

huangzihang

anthonyqian 发表于 2022-5-22 01:28
早就看出来了 MDE基本就是非白即黑了 和超敏感模式的趋势很像

趋势开了超敏感这么猛吗，是亚信版还是台湾版？

bananas12138

lexsm 发表于 2022-5-22 01:26
应该是火绒老问题了，我实体机性能好加密3个就拦了，虚拟机跑完了都没什么反映

难道是性能问题？之前有饭友说过是bug，但那个是针对msi的

anthonyqian

ESET上报后十多分钟就回复了：

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 25307.

WsIR1.1(1).exe - Win32/Filecoder.OLA trojan

anthonyqian

huangzihang 发表于 2022-5-22 01:31
趋势开了超敏感这么猛吗，是亚信版还是台湾版？

趋势在敏感模式下就是采用非白即黑策略的，玩了一会就不想玩了，没意思。而且有数字签名的似乎会骗过趋势

lexsm

bananas12138 发表于 2022-5-22 01:31
难道是性能问题？之前有饭友说过是bug，但那个是针对msi的

火绒检测挺玄学的，我记得去年就有人说过火绒在不同设备杀毒能力不同

aboringman

lexsm 发表于 2022-5-22 01:33
火绒检测挺玄学的，我记得去年就有人说过火绒在不同设备杀毒能力不同

诱饵没起作用的样子，加密得很顺畅。。。。。。

1. 病毒名称：ADV:Ransom/Genalocker.A
   
2. 病毒路径：C:\Users\123\Desktop\WsIR1.1(1).exe
   
3. 操作结果：处理失败，文件隔离失败
   
4. 
   
5. 进程ID：3344
   
6. 操作进程命令行："C:\Users\123\Desktop\WsIR1.1(1).exe"
   
7. 父进程：C:\Windows\explorer.exe
   
8. 父进程命令行：C:\Windows\Explorer.EXE

复制代码

果然。。。。。。





试图打开其中的一个诱饵的时候（



打败它的最好办法就是放在C盘根目录下双击（

huangzihang

anthonyqian 发表于 2022-5-22 01:28
早就看出来了 MDE基本就是非白即黑了 和超敏感模式的趋势很像

看了MDE的AV-T，连续好几年protection是0，短短几年从0-3.5-6霸榜，也没收购什么很强的安全公司。怪不得，这种激进的杀毒策略，MDE定位Antivius software不太准，它更像是在企业管理人员写的策略下禁止一切不允许外来未知程序的管理应用，听说全功能25端点一年二十多万，为了一个防毒一年花二十多万怕是中了勒索的赎金都没这么高（25台电脑一年中一次赎金也不会超过一万/台吧，更别说以中勒索的概率计算数学期望来对比给微软的总年金...）虽然它也有别的功能就是了。BDGZ, 咖啡企业版这种更好吧，后者还带保险，中毒包赔，前者真实世界防护的block rate比MDE更高，而且一年一设备是200不到。MDE这个价格加激进的策略实在是有当年3000+一个Windows系统激活码的影子，虽然现在也要1000+。

本想看下AV-C误报测试，可能考虑到企业货比较激进，没有误报测试