系列2 关于防勒索的保护

a8855942

系列2 第十七篇关于搭配的选择。_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)
顺便纠正上一篇。有人指出其实COMODO自动入沙也是可以了。其实我是认可的。本来想写防火墙篇的。刚好卡饭在8月12日有一个勒索样本。我就在虚拟机使用了下。结果如下。中间回去种饭了。16日测的BD企业版。因为太忙 趋势科技 EMIS GD 诺顿个人版都是没有安装的。下一次看有什么好样本来测测。会按照更多的杀毒软件。

COMODO：

自动入沙。选择的无限制。

VT报毒了。
熊猫杀毒软件。默认设置，应用控制允许。


EES 默认


KES


DRWEB beta版
双击没杀，但是防勒索模块禁止了。


AVAST：


AVAST正确识别，熊猫识别病毒。

顺便说下失败的两个：
SEP下载拦截。


SEP关闭下载智能分析


不过后面2天入库杀了。

BD企业版拦截，但是文件已加密



仅仅是一个样本代表不了什么，从这个测试来说，我个人还是偏向有专门的防勒索模块的。这点上，尤其是大蜘蛛。只有加白才能过。大蜘蛛虽然引擎拉跨，双击运行还是被防勒索模块拦截了。毕竟勒索跟破坏类病毒不同。诺顿过了WS1虽然有自动防御跟SONAR但还是有漏的情况。WS1对新程序检测厉害。如果过了防御，修复就难了。不过SEP是企业版觉得没有个人版报毒厉害，企业版应该有更好的技术跟服务支持。卡巴怎么说呢，主动防御还是挺强大，可以回滚还原文件是最好。备份很重要，比如U盘，百度盘这样的网盘都行。COMODO有HIPS跟沙箱，可以弥补一些主动防御引擎的差距。还有VT有多家引擎扫描可以对一些程序检测。还是有胜于无。ESET有ELG报了未知直接提交也不错。GD EMIS双引擎GD对PUA检测率高，换了新主动防御不知道如何。红伞感觉略单薄，就一个APC。FS还有一个DG双击可能会拦截把。

先说明，我不是专业的人士。我只是从我的一个角度来看问题。有些不足之处还希望大家能够指出错误。

pluto1313

勒索这东西，靠智能主防和特征都不靠谱，还得是HIPS。

StarlitFuture

那种上来就加密的啥杀软都不好使，也就毛豆的自动入沙管用

swizzer

StarlitFuture 发表于 2024-8-20 00:07
那种上来就加密的啥杀软都不好使，也就毛豆的自动入沙管用

都2024年了，现在这种反而是最容易拦截的...而且加密的文件越多越容易被拦截
虽然2024年也还是只有卡巴和BD的主防能稳定拿捏未知勒索

swizzer

BD的Ransomware Remediation居然没被触发，不科学啊

StarlitFuture

swizzer 发表于 2024-8-20 01:07
都2024年了，现在这种反而是最容易拦截的...而且加密的文件越多越容易被拦截
虽然2024年也还是只有卡巴 ...

那是因为样本不够新，直接搞个ps脚本用内置的加密函数，不搞持久化，随随便便都能过一堆杀软，中途拦截了也能破坏一堆文件，不要迷信杀软所谓的安全机制，遇上针对性的样本随随便便都能过，用脑子防病毒才是真的

a8855942

pluto1313 发表于 2024-8-19 23:43
勒索这东西，靠智能主防和特征都不靠谱，还得是HIPS。

嗯，在这里蜘蛛跟AVAST有专门的模块好很多。

Black_lonely

StarlitFuture 发表于 2024-8-20 09:08
那是因为样本不够新，直接搞个ps脚本用内置的加密函数，不搞持久化，随随便便都能过一堆杀软，中途拦截了 ...

卡巴可以回滚

swizzer

StarlitFuture 发表于 2024-8-20 09:08
那是因为样本不够新，直接搞个ps脚本用内置的加密函数，不搞持久化，随随便便都能过一堆杀软，中途拦截了 ...

那是lolbin的功劳，而不是"上来就加密"的功劳。

隔山打空气

swizzer 发表于 2024-8-20 01:08
BD的Ransomware Remediation居然没被触发，不科学啊

ATC反应太快抢人头了也许是（

可以ATC调仅检测+启用勒索缓解（BD代{过}{滤}理就是那么干的）