Ransomware x4

没有名字ssss

看过各种表现，无论卡巴还是BD，掏银子上企业版了，感觉没及时备份靠谱...BD：不认为加密
卡巴：格式不支持回滚

aboringman

00006666 发表于 2022-6-4 13:07
不知道是不是这个样本不加密文档？@anthonyqian

如果不加密文档，根本就不会触发360勒索保护……

我的问题，我是直接新创了几个无内容0kb的docx，应该是直接就绕过了。

随便搞了几个有内容的doc，这次是有触发，但也是部分加密。

1. 时间        操作        说明        次数
   
2. 2022-06-03 12:07:02        [已删除]          生成 快捷方式        防护 1 次
   
3. 详细描述：
   
4. 进程：C:\USERS\123\DESKTOP\EFB0F928648E6988C29BB03BB6B14F2760870F3040F0195CA1C6AD8AC5FA2DEE.EXE
   
5. 动作：新建
   
6. 路径：C:\Users\123\Desktop\360软件管家.lnk.PAY2DECRYPTRLDqvVUOGIccYYi7WJ4Vxxq
   
7. 2022-06-03 12:06:43        [自动阻止]          修改 文档或图片文件        防护 1 次
   
8. 详细描述：
   
9. 进程：C:\USERS\123\DESKTOP\EFB0F928648E6988C29BB03BB6B14F2760870F3040F0195CA1C6AD8AC5FA2DEE.EXE
   
10. 动作：试图修改
    
11. 路径：C:\Users\123\Desktop\efb0f928648e6988c29bb03bb6b14f2760870f3040f0195ca1c6ad8ac5fa2dee.zip
    
12. 风险文件：C:\USERS\123\DESKTOP\EFB0F928648E6988C29BB03BB6B14F2760870F3040F0195CA1C6AD8AC5FA2DEE.EXE
    
13. 防护信息: FD|30, 30, -1|F48A1057059028A65F2EC37E90D4DEEC|ca8c5636aa98948c3b25153188b98967cc65a42b
    
14. 2022-06-03 12:06:43        [自动处理]          结束进程        防护 1 次
    
15. 详细描述：
    
16. 进程：C:\Users\123\Desktop\efb0f928648e6988c29bb03bb6b14f2760870f3040f0195ca1c6ad8ac5fa2dee.exe 28F7A900|3|JcSQRMKTJJLcQ[R_P_J[PO|1654319639
    
17. 2022-06-03 12:06:43        [已阻止]          修改 文档或图片文件        防护 1 次
    
18. 详细描述：
    
19. 进程：C:\USERS\123\DESKTOP\EFB0F928648E6988C29BB03BB6B14F2760870F3040F0195CA1C6AD8AC5FA2DEE.EXE
    
20. 动作：试图修改
    
21. 路径：C:\Users\123\Desktop\efb0f928648e6988c29bb03bb6b14f2760870f3040f0195ca1c6ad8ac5fa2dee.zip
    
22. 风险文件：C:\USERS\123\DESKTOP\EFB0F928648E6988C29BB03BB6B14F2760870F3040F0195CA1C6AD8AC5FA2DEE.EXE
    
23. 防护信息: FD|30, 30, -1|F48A1057059028A65F2EC37E90D4DEEC|ca8c5636aa98948c3b25153188b98967cc65a42b

复制代码

补充回滚图（回滚后的原文件和被加密文件都在里面，这个是同样本的另一次双击）

00006666

aboringman 发表于 2022-6-4 13:19
我的问题，我是直接新创了几个无内容0kb的docx，应该是直接就绕过了。

随便搞了几个有内容的doc，这次 ...

触发勒索防护，应该会回滚文档文件，不过360不会回滚其他的诸如 压缩包、 可执行程序EXE、 快捷方式等文件

360的回滚会把被加密文件也留在原目录，我看你桌面的文档都回滚了，看文件名。

00006666

anthonyqian 发表于 2022-6-4 12:47
拦截了还是被加密吗 听说360也有回滚啊

差不多是只回滚文档，触发勒索防护后就会回滚，而且会把被加密的文档也留在桌面上，回滚的文件采用原来的文件名，被加密的文件带的是加密扩展名，看文件名可以区分。

通常是加密3-4个文档后会触发勒索防护并回滚，如果不加密文档那基本就不会有拦截也不会回滚。

anthonyqian

lvseqiji 发表于 2022-6-4 13:15
终止隔离了，又测了一遍，好像有某种触发条件，运行目录下加密后的文件没能写到磁盘就被干掉了。

你可以申请一个pro试用版试试看所谓的勒索防护。。。

anthonyqian

aboringman 发表于 2022-6-4 13:19
我的问题，我是直接新创了几个无内容0kb的docx，应该是直接就绕过了。

随便搞了几个有内容的doc，这次 ...

来测测大蜘蛛啊

开开心心卖手机

anthonyqian 发表于 2022-6-4 10:24
卡巴斯基 VHO:Trojan-Ransom.Win32.Agent.gen x4

Power BI？我以前工作常用这个

Tom179090

hushuai 发表于 2022-6-4 12:24
BDTS kill 2，ATD杀。
剩下的：
ransomito_1 ATD杀了，桌面部分文件被加密，图片未被加密。

我一直很好奇为什么BD不能把ransomware remediation和ATD整合到一起，弄一个有完整回滚的ATD（像卡巴那样……），这俩完全不联动。

CBI

anthonyqian 发表于 2022-6-4 12:39
过ELG？

一般ELG都是安全，不管这个文件到底安不安全
所以安全的文件会先被封锁几分钟，不安全的文件也不差这几分钟

freeyang

CBI 发表于 2022-6-4 14:57
一般ELG都是安全，不管这个文件到底安不安全
所以安全的文件会先被封锁几分钟，不安全的文件也不差这几 ...

微步也判定为安全，但是如果自己看看沙箱跑出来的行为，就会知道这个文件有问题。所以说靠自动沙箱防未知的路还很长。PS:感觉ESET以后就是想绕开主防的短板，从自动云沙箱入手来防0day了。