加密 1x

superLYT

heavencc 发表于 2026-1-20 16:34
BD扫描不报，沙箱内双击没跑出行为；
数字扫描报木马，双击倒是没拦截，把同目录下所有文档扩展名改成了11 ...

可以看一下我的测试结果，应该是只检测到了对压缩包的加密，你们可以试一下在文件夹里面放个压缩包

AMD_Ryzen

superLYT 发表于 2026-1-21 00:32
可以看一下我的测试结果，应该是只检测到了对压缩包的加密，你们可以试一下在文件夹里面放个压缩包

感谢解答

我又去测试了几次，不过结果参差不齐，非常玄学
结论是：成功触发了一次，那次是pdf和docx触发的（目录下放了rar）；miss了很多次（其中有放rar的）；纯ATC触发了一次（相比触发勒索防护那次，仅仅是放的文件略有不同，目录下rar，pdf，docx都有）

superLYT

AMD_Ryzen 发表于 2026-1-21 08:12
感谢解答

我又去测试了几次，不过结果参差不齐，非常玄学

我去，我只测试了一次，结果可能没有普遍性，那看来ATD对于这种样本还是不够灵敏，话说企业版应该会更灵敏一点吧

AMD_Ryzen

superLYT 发表于 2026-1-21 08:56
我去，我只测试了一次，结果可能没有普遍性，那看来ATD对于这种样本还是不够灵敏，话说企业版应该会更灵 ...

企业版确实更灵敏些，不过对这个样本还是非常玄学，我猜测可能ATC的恶意评分和勒索防护的恶意评分是分开来的，然后在不同加密顺序和文件类型下，产生的评分各有不同？

之前也向BD提交过这类非典型勒索软件，当时回复是这样的：

感谢您对此事的耐心等待。

Bitdefender 是一个多层安全系统，设计时旨在与其所有模块协同工作。

    勒索软件缓解措施作为最后一道防线，使我们能够在安全性和性能之间保持平衡。

我们目前正在努力提高对非典型勒索软件行为的检测率，此次提供的样本帮助我们改进了启发式方法。

未来，我们相信此类事件将以更高效的方式得到处理。

superLYT

AMD_Ryzen 发表于 2026-1-21 09:05
企业版确实更灵敏些，不过对这个样本还是非常玄学，我猜测可能ATC的恶意评分和勒索防护的恶意评分是分开 ...

确实，太玄学了，勒索防护不应该和ATD联动才对嘛，但是遇到的勒索报毒，基本上都不会触发ATD报毒，而是单独的勒索防护报毒

AMD_Ryzen

superLYT 发表于 2026-1-21 11:07
确实，太玄学了，勒索防护不应该和ATD联动才对嘛，但是遇到的勒索报毒，基本上都不会触发ATD报毒，而是单 ...

欸，我看这个样本，你前面演示的图片里，ATD就是和勒索防护联动的吧？

superLYT

AMD_Ryzen 发表于 2026-1-21 11:52
欸，我看这个样本，你前面演示的图片里，ATD就是和勒索防护联动的吧？

还真是，看错了

jxfaiu

解压秒

zhaodongqi_1245

密码？