查看: 2187|回复: 17
收起左侧

[分享] 系列2 关于防勒索的保护

[复制链接]
a8855942
发表于 2024-8-19 23:07:10 | 显示全部楼层 |阅读模式
本帖最后由 a8855942 于 2024-8-20 21:03 编辑

系列2 第十七篇关于搭配的选择。_国外杀毒软件_安全区 卡饭论坛 - 互助分享 - 大气谦和! (kafan.cn)
顺便纠正上一篇。有人指出其实COMODO自动入沙也是可以了。其实我是认可的。本来想写防火墙篇的。刚好卡饭在8月12日有一个勒索样本。我就在虚拟机使用了下。结果如下。中间回去种饭了。16日测的BD企业版。因为太忙 趋势科技 EMIS GD 诺顿个人版都是没有安装的。下一次看有什么好样本来测测。会按照更多的杀毒软件。

COMODO:

自动入沙。选择的无限制。

VT报毒了。
熊猫杀毒软件。默认设置,应用控制允许。


EES 默认


KES


DRWEB beta版
双击没杀,但是防勒索模块禁止了。


AVAST:


AVAST正确识别,熊猫识别病毒。

顺便说下失败的两个:
SEP下载拦截。


SEP关闭下载智能分析


不过后面2天入库杀了。

BD企业版拦截,但是文件已加密



仅仅是一个样本代表不了什么,从这个测试来说,我个人还是偏向有专门的防勒索模块的。这点上,尤其是大蜘蛛。只有加白才能过。大蜘蛛虽然引擎拉跨,双击运行还是被防勒索模块拦截了。毕竟勒索跟破坏类病毒不同。诺顿过了WS1虽然有自动防御跟SONAR但还是有漏的情况。WS1对新程序检测厉害。如果过了防御,修复就难了。不过SEP是企业版觉得没有个人版报毒厉害,企业版应该有更好的技术跟服务支持。卡巴怎么说呢,主动防御还是挺强大,可以回滚还原文件是最好。备份很重要,比如U盘,百度盘这样的网盘都行。COMODO有HIPS跟沙箱,可以弥补一些主动防御引擎的差距。还有VT有多家引擎扫描可以对一些程序检测。还是有胜于无。ESET有ELG报了未知直接提交也不错。GD EMIS双引擎GD对PUA检测率高,换了新主动防御不知道如何。红伞感觉略单薄,就一个APC。FS还有一个DG双击可能会拦截把。

先说明,我不是专业的人士。我只是从我的一个角度来看问题。有些不足之处还希望大家能够指出错误。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2魅力 +1 人气 +1 收起 理由
白露为霜 + 1 版区有你更精彩: )
HEMM + 1 已被无限制吓晕~

查看全部评分

pluto1313
发表于 2024-8-19 23:43:52 | 显示全部楼层
勒索这东西,靠智能主防和特征都不靠谱,还得是HIPS。
StarlitFuture
发表于 2024-8-20 00:07:19 | 显示全部楼层
那种上来就加密的啥杀软都不好使,也就毛豆的自动入沙管用
swizzer
发表于 2024-8-20 01:07:45 | 显示全部楼层
本帖最后由 swizzer 于 2024-8-20 01:11 编辑
StarlitFuture 发表于 2024-8-20 00:07
那种上来就加密的啥杀软都不好使,也就毛豆的自动入沙管用

都2024年了,现在这种反而是最容易拦截的...而且加密的文件越多越容易被拦截
虽然2024年也还是只有卡巴和BD的主防能稳定拿捏未知勒索
swizzer
发表于 2024-8-20 01:08:11 | 显示全部楼层
BD的Ransomware Remediation居然没被触发,不科学啊
StarlitFuture
发表于 2024-8-20 09:08:43 | 显示全部楼层
swizzer 发表于 2024-8-20 01:07
都2024年了,现在这种反而是最容易拦截的...而且加密的文件越多越容易被拦截
虽然2024年也还是只有卡巴 ...

那是因为样本不够新,直接搞个ps脚本用内置的加密函数,不搞持久化,随随便便都能过一堆杀软,中途拦截了也能破坏一堆文件,不要迷信杀软所谓的安全机制,遇上针对性的样本随随便便都能过,用脑子防病毒才是真的
a8855942
 楼主| 发表于 2024-8-20 13:53:47 | 显示全部楼层
pluto1313 发表于 2024-8-19 23:43
勒索这东西,靠智能主防和特征都不靠谱,还得是HIPS。

嗯,在这里蜘蛛跟AVAST有专门的模块好很多。
Black_lonely
发表于 2024-8-20 15:05:57 | 显示全部楼层
StarlitFuture 发表于 2024-8-20 09:08
那是因为样本不够新,直接搞个ps脚本用内置的加密函数,不搞持久化,随随便便都能过一堆杀软,中途拦截了 ...

卡巴可以回滚
swizzer
发表于 2024-8-20 15:58:18 | 显示全部楼层
StarlitFuture 发表于 2024-8-20 09:08
那是因为样本不够新,直接搞个ps脚本用内置的加密函数,不搞持久化,随随便便都能过一堆杀软,中途拦截了 ...

那是lolbin的功劳,而不是"上来就加密"的功劳。

隔山打空气
发表于 2024-8-20 17:00:32 | 显示全部楼层
swizzer 发表于 2024-8-20 01:08
BD的Ransomware Remediation居然没被触发,不科学啊

ATC反应太快抢人头了也许是(

可以ATC调仅检测+启用勒索缓解(BD代{过}{滤}理就是那么干的)

评分

参与人数 1人气 +1 收起 理由
danger + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:25 , Processed in 0.123285 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表