HIPS拦截Magniber加密过程的通解方案 （已失效）

Jirehlov1234

5月27日更新
新版已失效。暂无低误报的HIPS解决方案。
卡巴斯基的版本见：https://bbs.kafan.cn/thread-2235372-1-1.html


如下设置：

禁止
（5月27日前的旧版Magniber）C:\Windows\System32\msiexec.exe
读
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider\Type





凡是支持禁止注册表读取防护的HIPS（应该）都是可以实现的。
Magniber在读取该键值失败后便跳过了对该文件的加密。




注意：
1. 这条规则只能阻止加密过程，并不能阻止勒索信的生成，也不能阻止代码注入造成的shadowcopy的删除等行为，换言之，只有文件保住了；
2. 兼容性问题：正常的文件执行也可能存在需要读取该键值的情况。如果发生错误拦截请跟帖反馈。

Jerry.Lin

Magniber这玩意很有特点

wwwab

1.

并不能阻止勒索信的生成

再写一条文件规则，禁止*/readme.html被创建就行了吧
2.

也不能阻止代码注入造成的shadowcopy的删除等行为

目前火绒自带HIPs规则本来就可以拦截命令行删除卷影还原点的行为，就只是保不住文件而已

Jirehlov1234

wwwab 发表于 2022-5-22 15:55
1. 再写一条文件规则，禁止*/readme.html被创建就行了吧
2. 目前火绒自带HIPs规则本来就可以拦截命 ...

1. 本来误报就有一些，这么写误报更高了
2. 火绒自带不自带雨我无瓜，我就拿它举个栗子

wwwab

Jirehlov1234 发表于 2022-5-22 16:00
1. 本来误报就有一些，这么写误报更高了
2. 火绒自带不自带雨我无瓜，我就拿它举个栗子

我去问下能不能这样搞

Jirehlov1234

wwwab 发表于 2022-5-22 16:03
我去问下能不能这样搞

还是从行为出发靠谱，你这个下次magniber换个命名规则或者有正常msi这么命名就寄了或者误报了。
主楼这个方法只要magniber不改核心加密模块就不会被过

00006666

wwwab 发表于 2022-5-22 16:03
我去问下能不能这样搞

直接识别原始MSI文件可能有一定的难度，隔壁智量也不能做到识别原始MSI文件  @swizzer

Jirehlov1234

00006666 发表于 2022-5-22 20:05
直接识别原始MSI文件可能有一定的难度，隔壁智量也不能做到识别原始MSI文件  @swizzer

他这个是阻止特定通配文件名的msi执行，不是执行后回去找是谁

00006666

Jirehlov1234 发表于 2022-5-22 20:21
他这个是阻止特定通配文件名的msi执行，不是执行后回去找是谁

这种应该可以做到，你那里可以自己制作一个MSI文件，改成那种名字，测试下规则有没有作用。

wwwab

00006666 发表于 2022-5-22 20:32
这种应该可以做到，你那里可以自己制作一个MSI文件，改成那种名字，测试下规则有没有作用。

其实我也想问msi文件是怎么做出来的