#Magniber ?

显示全部楼层 · 发表于 2023-3-13 14:21:26

GDHJDSYDH 发表于 2023-3-13 05:38
MD扫描miss，双击后扫描kill，虽然拦截了部分行为但没有清除所有的衍生物，图片文件依旧被加密，而且KVRT+E ...

勒索防护下的文件也被加密了？

显示全部楼层 · 发表于 2023-3-13 15:37:03

喀反发表于 2023-3-13 14:21
勒索防护下的文件也被加密了？

没错，图片文件夹里的截图全被加密了，受控文件夹和ASR规则“使用高级保护抵御勒索软件”都开了

显示全部楼层 · 发表于 2023-3-13 19:24:53

GDHJDSYDH 发表于 2023-3-13 15:37
没错，图片文件夹里的截图全被加密了，受控文件夹和ASR规则“使用高级保护抵御勒索软件”都开了

确实拉了

，可能是勒索加密行为太快导致WD没反应过来？

显示全部楼层 · 发表于 2023-3-13 19:32:27

喀反发表于 2023-3-13 11:24
确实拉了，可能是勒索加密行为太快导致WD没反应过来？

wd那个勒索防护是白名单机制，magni注入的系统进程在白名单里

显示全部楼层 · 发表于 2023-3-14 11:03:48

本帖最后由 00006666 于 2023-3-14 11:05 编辑

dght432 发表于 2023-3-12 09:49
现在可以杀了类型:木马-Win64/Trojan.Generic.HnoASAQB
描述:木马是一种伪装成正常文件的恶意软件，会盗 ...

没开核晶，有些行为可能拦不住，比如开了核晶就可以拦截注入，建议开核晶再测试。

显示全部楼层 · 发表于 2023-3-14 11:07:21

00006666 发表于 2023-3-14 11:03
没开核晶，有些行为可能拦不住，比如开了核晶就可以拦截注入，建议开核晶再测试。

开了的，双击后文件没有异常

显示全部楼层 · 发表于 2023-3-14 11:08:41

dght432 发表于 2023-3-14 11:07
开了的，双击后没有异常

那应该是加了新的拦截规则，拦截靠前了，以前只能靠核晶拦截注入。

显示全部楼层 · 发表于 2023-3-14 17:20:15

金山毒霸kill

显示全部楼层 · 发表于 2023-4-1 22:02:47

Avast
Win64:Evo-gen [Trj]

显示全部楼层 · 发表于 2023-4-1 23:43:00

Jirehlov1234 发表于 2023-3-13 19:32
wd那个勒索防护是白名单机制，magni注入的系统进程在白名单里

突然开始怀念曾经勒索防护万物杀，即使系统进程也动不了的时代了

[病毒样本] #Magniber ?