用powershell加密的勒索软件

显示全部楼层 · 发表于 2024-7-10 09:11:08

SEP B杀，关闭启发后双击被加密

什么时候SEP能把Norton的DP学过去啊，这对勒索没有任何还手之力啊

显示全部楼层 · 发表于 2024-7-10 09:19:54

本帖最后由 hipoxiaxxx 于 2024-7-10 09:41 编辑

FortiClient扫描KILL
PowerShell/Filecoder.BL!tr
双击寄

显示全部楼层 · 发表于 2024-7-10 09:21:14

wwwab 发表于 2024-7-10 08:57
6哥又在没了解过就乱说话了
火绒的勒索诱捕文件白程序动了也会杀
你用excel修改了勒索诱捕文件内 ...

这我知道，因为我之前，手动去点开它诱捕文件，也能触发，但是之前确实见过很多注入白文件的，火绒是无响应的，比如以前很有名的Magniber，注入进去就没见过火绒有响应的，所以我是猜测它应该还是会跳过一些系统层次白文件的操作

显示全部楼层 · 发表于 2024-7-10 09:23:47

本帖最后由 wwwab 于 2024-7-10 09:31 编辑

00006666 发表于 2024-7-10 09:21
这我知道，因为我之前，手动去点开它诱捕文件，也能触发，但是之前确实见过很多注入白文件的，火绒是无响 ...

Magniber压根没有加密诱捕吧

explorer.exe直接操作应该不管

火绒应该也不是不能写路径或者操作进程排除项（火绒的Hips应该有很多这种排除项），但是如果真的大胆写了很多的话应该也能把word excel wps这种路径排除掉了。。

不过确实也有可能把系统路径整个排除掉，像内存防护一样，检出系统进程就不处理或者调用sfc，不然直接结束进程或者隔离掉之后容易坏事，这个不排除是通用逻辑

值得后续测试

显示全部楼层 · 发表于 2024-7-10 09:25:46

金山

显示全部楼层 · 发表于 2024-7-10 09:34:54

COMODO 2025入沙，然后无事发生

显示全部楼层 · 发表于 2024-7-10 09:36:10

00006666 发表于 2024-7-10 08:46
火绒的勒索诱捕是不拦截这些所谓的白程序的，无论是注入白程序来加密，或者这些脚本程序，它运行起来火绒 ...

更新了更多内容

显示全部楼层 · 发表于 2024-7-10 09:52:32

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2024-7-10 10:08:50

真小读者发表于 2024-7-10 09:25
金山

这报毒名很明显是云拉黑的，双击估计就没了

显示全部楼层 · 发表于 2024-7-10 10:53:51

AhnLab双击带走
天擎扫描杀，但是回滚上一个快照断网双击寄文件被加密
说好的勒索防护呢？

[病毒样本] 用powershell加密的勒索软件