V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yicun
V2EX  ›  分享发现

WanaCrypt0r 勒索病毒: 19 款杀软主防测试

  •  4
     
  •   yicun · 2017-05-14 13:41:05 +08:00 · 14584 次点击
    这是一个创建于 2741 天前的主题,其中的信息可能已经有所发展或是发生改变。
    http://bbs.kafan.cn/thread-2089134-1-1.html

    现在应该所有杀软都已经入库可以防御,所以测试者把测试的杀软都锁在 5 个月前的毒库和行为库,测试对 5 个月后流行的病毒防御能力,近似模仿新变种勒索病毒释出,还没有入库无法识别的情况下,杀软的主防能否拦截病毒。
    100 条回复    2017-07-06 13:08:08 +08:00
    0TSH60F7J2rVkg8t
        1
    0TSH60F7J2rVkg8t  
       2017-05-14 14:02:12 +08:00
    很好的测试啊,锁了病毒库,在 2016 年 12 月 12 日,然后查半年后的新病毒,很有参考价值。考验的就是杀软自己的安全体系,病毒库反而是次要的。行为检测,损坏回滚,这些都很重要!赞一下。
    majinjing3
        2
    majinjing3  
       2017-05-14 14:17:45 +08:00 via Android
    赞👍
    isCyan
        3
    isCyan  
       2017-05-14 14:18:57 +08:00 via Android
    火绒挂了
    rosu
        5
    rosu  
       2017-05-14 14:31:37 +08:00 via Android
    @isCyan 火绒主防比较差。而且这次事件响应也慢。
    lair
        6
    lair  
       2017-05-14 14:40:40 +08:00
    所以说免费才是最贵的
    anjunecha
        7
    anjunecha  
       2017-05-14 14:59:54 +08:00 via iPhone   ❤️ 1
    准备把火绒换掉了…
    coolcfan
        8
    coolcfan  
       2017-05-14 15:10:18 +08:00 via Android   ❤️ 2
    测试效果最好的里面
    卡巴每个新版本都有严重 bug
    Emsisoft 主防可以把别的程序一切危险行为告诉你,但是有一些兼容性问题,比如让废渣地平线 3 无法启动
    Bitdefender 的 ATC 在双击病毒方面一向表现良好,但是以前经常杀腾讯全家 (虽说也没冤枉腾讯 233

    所以受不了 Win10 自动更新的人应该也不会选择这三个吧。
    JeffreyRSmith
        9
    JeffreyRSmith  
       2017-05-14 15:24:19 +08:00
    @coolcfan 那给个推荐,选哪个好
    coolcfan
        10
    coolcfan  
       2017-05-14 15:33:41 +08:00   ❤️ 1
    @JeffreyRSmith #9 当然还是这三个咯,要最好的主防就要忍受它们的 bug (
    wisefree
        11
    wisefree  
       2017-05-14 16:04:18 +08:00
    心塞,,eset 居然没拦住。。
    sephinh
        12
    sephinh  
       2017-05-14 16:42:08 +08:00 via Android
    找了半天也没发现微软的 wd 如何
    standin000
        13
    standin000  
       2017-05-14 16:49:25 +08:00
    火绒添加自己规格能防吗?
    WhisperTseng
        14
    WhisperTseng  
       2017-05-14 16:53:36 +08:00 via iPhone
    eset 没拦住,心塞+1
    chocolatesir
        15
    chocolatesir  
       2017-05-14 16:53:37 +08:00 via Android
    @wisefree +1 所以刚刚入了 24 块 3 年的大蜘蛛。。。
    wzw
        16
    wzw  
       2017-05-14 16:57:03 +08:00
    @wisefree 也没想到 eset 没防住
    chairuosen
        17
    chairuosen  
       2017-05-14 17:01:14 +08:00
    最好再来一个 5 月病毒库的横向测试,这样能再过滤出一些虽然没那么 NB,但也做好了本分的厂商。再剩下的就可以标记成垃圾杀软了。
    yicun
        18
    yicun  
    OP
       2017-05-14 17:04:40 +08:00
    @sephinh wd 能防怎么会大规模爆发
    mikeven
        19
    mikeven  
       2017-05-14 17:04:49 +08:00
    总结:国产杀软的都是辣鸡~
    davidzhanwork
        20
    davidzhanwork  
       2017-05-14 17:06:24 +08:00 via Android
    @chocolatesir 是怎么买到的呢? 我这边看官网 28 欧元一年...
    chocolatesir
        22
    chocolatesir  
       2017-05-14 17:19:00 +08:00 via Android
    wdlth
        23
    wdlth  
       2017-05-14 18:14:09 +08:00   ❤️ 1
    风水轮流转,说不定下次就变了……
    大多数杀软还不会把所有的文档读写操作都监控吧,毕竟相比于勒索病毒,其他的病毒也得防。
    lazycat
        24
    lazycat  
       2017-05-14 18:17:57 +08:00
    @coolcfan #8 卡巴的版本更新也不是强制的啊,完全可以用旧版本+全新病毒库一段时间等新版本稳定了再更新
    EIlenZe
        25
    EIlenZe  
       2017-05-14 18:36:00 +08:00 via iPhone   ❤️ 2
    看昨天大家还在火绒+1 +1 加到了 10086
    SuperMild
        26
    SuperMild  
       2017-05-14 18:58:51 +08:00
    大蜘蛛看起来有独到之处呀
    jasontse
        27
    jasontse  
       2017-05-14 18:59:29 +08:00 via iPad   ❤️ 1
    @chairuosen
    @yinflying
    现在已经不一样了,昨天中午我看的时候 金山 瑞星 江民 这三个扫不出,最搞笑的是金山到现在都查不出。
    jasontse
        28
    jasontse  
       2017-05-14 19:13:42 +08:00 via iPad
    chocolatesir
        29
    chocolatesir  
       2017-05-14 19:19:12 +08:00 via Android
    @jasontse 百度是用的比特梵德的核吧。
    chocolatesir
        30
    chocolatesir  
       2017-05-14 19:19:56 +08:00 via Android
    @SuperMild 在国内。大蜘蛛误杀还比较高。。
    wangxiaoer
        31
    wangxiaoer  
       2017-05-14 19:21:00 +08:00
    一个个都特么时候诸葛亮啊,这个时候还有毛用 :doge
    jasontse
        32
    jasontse  
       2017-05-14 19:30:24 +08:00 via iPad
    @chocolatesir 但是其它的国产壳都没扫出来这就能说明问题了
    hx1997
        33
    hx1997  
       2017-05-14 19:41:03 +08:00
    @jasontse #28 最早的是这个: https://www.virustotal.com/en/file/ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa/analysis/1494574270/

    360 QVM 云启发了,但后来几次就不报了,无语。。。
    acrisliu
        34
    acrisliu  
       2017-05-14 20:09:27 +08:00 via Android
    卡饭不是垃圾站么?
    lazycat
        35
    lazycat  
       2017-05-14 20:41:09 +08:00
    @sephinh #12 人家楼主测试用的是 win7 啊。。。哪来的 wd。。。
    lsido
        36
    lsido  
       2017-05-14 20:42:33 +08:00
    终上所述,360 是个垃圾
    guozixi
        37
    guozixi  
       2017-05-14 20:44:06 +08:00 via Android
    很好的测试,对选择杀毒软件很有帮助。
    guozixi
        38
    guozixi  
       2017-05-14 20:44:32 +08:00 via Android
    @wangxiaoer 对选择杀软有帮助啊
    zander
        39
    zander  
       2017-05-14 21:04:28 +08:00
    火绒主杀确实弱。积累还是不够。
    artandlol
        40
    artandlol  
       2017-05-14 21:38:28 +08:00 via Android
    给它再加个壳再测试 你会发现 又有很多软件根本查不出来
    sephinh
        41
    sephinh  
       2017-05-14 21:39:15 +08:00 via iPhone
    @lazycat 说的找包括但不限于楼主发的测试啊,win7 就是 mse 啊,8 以后都是 wd,但东西基本都是那一套
    taineric
        42
    taineric  
       2017-05-14 21:52:36 +08:00 via Android
    @wdlth 勒索病毒已经出现非常久了,杀软就应该无视么?

    @acrisliu 卡饭论坛还好,同域名的卡饭教程是垃圾站。

    @artandlol 加壳后它的行为特征应该不会变化吧,而且解壳也是杀软基本能力


    @yicun WD 通过 Windows Update 更新的,然而有开 Windows Update 必然会收到微软补丁,并不会中毒。
    sgissb1
        43
    sgissb1  
       2017-05-14 21:54:08 +08:00
    @jasontse 金山不是当年的金山了,终端用户市场也越做越弱了。当年 android 2.3 的时候,金山手机助手还是蛮好用的,结果到了后面和数字公司比谁更卡,谁更能弹广告了。老本行都快被丢完了。
    kn007
        44
    kn007  
       2017-05-14 22:11:46 +08:00
    看来我推荐卡巴是对的。
    zea
        45
    zea  
       2017-05-14 22:32:46 +08:00 via Android
    Avira 没通过…伤心。卡巴太卡了,最后没用
    mingyun
        46
    mingyun  
       2017-05-14 22:48:10 +08:00
    上午 QQ 管家还推送消息说可以开启文档保护
    zander
        47
    zander  
       2017-05-14 23:01:58 +08:00 via iPhone
    一个系统补丁就解决的事硬要推销一大把乱七八糟的东西,知乎微博上那堆乱七八糟的教程看着就烦。
    360 的微博把这个文章挂起来了,说这是故意抹黑 360 的文章。
    zander
        48
    zander  
       2017-05-14 23:09:33 +08:00 via iPhone
    看开机后是 360 快还是病毒快了。
    理论上 360 会快一点。
    装 360 的话。
    金山的话自求多福吧。
    wdlth
        49
    wdlth  
       2017-05-14 23:12:42 +08:00   ❤️ 1
    @taineric 本身这个测试就是偏向于这款勒索软件,或者说它的部分行为,并不代表这些杀软能防 5 个月后的新病毒、新勒索软件。
    比如以前这个 UFEI 的勒索软件 Petya:
    https://www.virustotal.com/zh-cn/file/ac710109b547fe2a7abb42689c1d5b7546aecd978fe070c47668a2904df8f2a5/analysis/1481132040/#analysis

    又是另外的一番景象。技术更新很快,只有多多提高自己的安全意识才行。

    http://support.eset.com/kb6119/

    ESET 建议把 cscript.exe、wscript.exe、Powershell、Adobe Reader、Office 等加入 HIPS 的规则里面,牺牲便利性以提高安全性。
    Domains
        50
    Domains  
       2017-05-14 23:20:39 +08:00
    @EIlenZe 继续火绒+1, 这次是 0day,指望杀软本身就不对,能起作用是启发式检测,这种本身就是不靠谱的。
    EIlenZe
        51
    EIlenZe  
       2017-05-14 23:32:02 +08:00
    @Domains #50 原来如此 火绒确实好多人好多人推荐
    ctsed
        52
    ctsed  
       2017-05-15 00:03:53 +08:00 via Android
    360 企业版的天擎好像上个月就对这个漏洞更新规则了
    skyeycirno
        53
    skyeycirno  
       2017-05-15 00:07:35 +08:00
    卡巴斯基确实厉害啊
    baskice
        54
    baskice  
       2017-05-15 00:30:42 +08:00
    诺顿 norton 2016 年 12 月 12 日版能否主动杀到?有没有谁能做个测试?
    Technetiumer
        55
    Technetiumer  
       2017-05-15 00:34:19 +08:00 via Android
    @zea
    @wzw
    @WhisperTseng
    @wisefree
    ESET、Avira 没防住,这些杀软是 **没有主防** 的(行为分析)
    纯靠快速响应拼速度的,没入库就完蛋
    ESET 有 HIPS,如果用 HIPS 规则禁止写入修改重要文件也能算防住,不过弹窗烦死你
    红伞有 APC (上传,分析,拉黑)



    @Domains
    WNCRY 利用永恒之蓝漏洞攻击后,释放了一个和一般勒索程序没啥区别的衍生物程序来勒索的,而不是直接利用漏洞执行勒索行为
    也就是说,白白浪费了漏洞无需写入硬盘即可执行的特性,释放了一个普通的勒索程序,而且设计还有缺陷
    因此个人认为杀软防御普通勒索和 WNCRY 的难度没有区别



    @rosu
    火绒主打行为分析(主防和动态启发)的,病毒库弱,如果行为分析不行,火绒只能用防流氓了
    火绒的行为分析和 avast 的行为分析防 Cerber 很好的,这次 WNCRY 没防住而已
    之前 BD 的 ATC (主防)还总被 Cerber 过呢,入库也缓慢



    @jasontse
    @chocolatesir
    WisdomEyes 是百度自家引擎(慧眼),而且测试中 BD 是主防拦截( ATC ),不是入库
    WisdomEyes 似乎很牛逼,总是第一时间拉黑,不知道会不会是传到 VT 不管是什么先拉黑再说



    @mikeven
    总结:无主防杀软都是辣鸡~
    Domains
        56
    Domains  
       2017-05-15 00:37:56 +08:00   ❤️ 1
    @EIlenZe 哈哈,这就要和你补充说一下,上面的话太简单不严谨,免得误导你了。 火绒更新的频次本来就低,指望这货查杀病毒本身也是不靠谱,我使用火绒不是因为谁谁推荐,而是因为适合我自己,自己对于安全、病毒这些还有些了解,现在已经不折腾了(以前会把收集到的木马跑一遍,再观察情况,写个手工清除教程什么的)但自带的太没存在感了,火绒这样带防火墙也带 HIPS 的轻量级安全软件对我来说已经够用了。
    这次是 0day 攻击,是系统级的漏洞利用,除了补丁,没得防。启发式、行为分析等查杀手段之所以不靠谱,是软件远远没那么智能,规则太松了没效果,太严了就影响一大片,因为用户的应用环境千变万化 。

    其实安全软件市场很大,蛋糕很大,你看看国外,就算这几年已经不像过去那么多病毒流行,依然能容纳那么多家安全软件产商,赛门铁克、McAfee、趋势科技、Kaspersky、熊猫、小红伞、AVAST、ESET 等等,国内实质上是被 360 所谓的免费搞烂了。
    Technetiumer
        57
    Technetiumer  
       2017-05-15 00:38:03 +08:00 via Android
    再次推荐使用知名大厂带本地主动防御杀软

    其中免费的有
    BD
    Avast
    Domains
        58
    Domains  
       2017-05-15 00:47:19 +08:00
    @Technetiumer 那不可能的,一个病毒能成形,必须病毒实体文件到达用户硬盘,并且被激活运行了一遍。 病毒实质上就是一个可执行程序,只是被错误安装进系统。没那么神乎的
    phoenixlzx
        59
    phoenixlzx  
       2017-05-15 00:47:42 +08:00
    日本这边基本是 Norton 撑大旗,shopping mall 软件区各种摆满。其他的能看到趋势科技(?没看错的话)和 ESET 不过份额很少。

    于是公司跟风买了 Norton Small Business 给员工用...........

    不过这次圈子里分享病毒样本的时候 Norton 还是非常利索地都给干掉了就是。
    Technetiumer
        60
    Technetiumer  
       2017-05-15 00:50:56 +08:00 via Android
    @Domains

    转自卡饭

    该病毒最精华的部分,也就是让它带有蠕虫性质的自动入侵模块,其实是照搬自今年 3 月被维基解密曝光的 NSA (美国国家安全局)的网络武器——“永恒之蓝“。 而在“永恒之蓝”完成入侵后,接下来的东西就暴露了作者的水平。

    单就“永恒之蓝”,其入侵手段非常完美,利用远程执行漏洞,使用 Shellcode 获取管理员权限,整个过程都隐藏在内存里,,不进行任何文件读写,完美规避安软的文件扫描(部分安软的基于进程的内存扫描也很难扫到),那么这个拥有管理员权限,几乎可以为所欲为的 Shell 做了什么呢?仅仅只是联网下载病毒本体到 ProgramData 文件夹,并将其执行,然后就
    自动退出了。。。。。。。。。。。
    自动退出了。。。。。。。。。。。
    自动退出了。。。。。。。。。。。
    合着国家级的入侵工具,你就拿它当下载器?
    亏得刚刚避过了安软的文件扫描,一下载文件到硬盘,完全破功,很多静态扫描强的安软,这时候很可能就把本体杀掉了。至于下回来的本体,就是一普通的勒索加密,用的是自加密的最初级加壳方式,直接使用命令获取所有文件的写权限,动作之大,只能说掩耳盗铃,视安软的主防于无物,从下面的测试里也能看出,断网状态、16 年 12 月行为特征库的各大安软就纷纷将其斩于马下。更无语的是,该病毒是先在本地生成加密密钥,加密完才上传至服务器,察觉的快的话,没有杀软的情况下也可能挽救文件。
    jinghli
        61
    jinghli  
       2017-05-15 01:05:01 +08:00 via Android
    这个测试没什么意义。病毒库除了静态病毒 signatures 之外还有别的内容。即便可以检测,检测的名字也是 generic 的 trojan。这有什么意义。
    Technetiumer
        62
    Technetiumer  
       2017-05-15 01:06:30 +08:00 via Android
    这么一个牛逼的漏洞被这么一个有缺陷的勒索爆了

    估计无数 xx 人员气的想骂人

    离线勒索软件思路

    AES 加密文件,RSA 公钥加密 AES 密钥,要求用户通过 tor 的.onion 网站提交被 RSA 加密的 AES 密钥文件,同时还要用户提交即将用于支付赎金的比特币钱包地址,这样能绑定用户和比特币钱包地址,然后要求用比特币付款,暗网网站后台程序自动验证,自动用 RSA 私钥解密 AES 密钥文件,向用户发放 AES 解密密钥,用户向解密器填入专属 AES 密钥解密。

    全程被害电脑可以断网,赎回文件可以用其他电脑操作。
    Domains
        63
    Domains  
       2017-05-15 01:15:03 +08:00
    @Technetiumer 哈哈,纯内存,重启不就没事了? 病毒一定是要有实体文件的,你可以说在缓存里,但仍然是有实体,不然怎么生效? 病毒要生存要常驻(不然重启怎么办),甚至可以内核级、驱动级加载,或者可以欺诈隐藏,挂了了钩子对系统查询返回虚假值(典型就是 Rootkit )
    而这个是 A+B 的套餐,即使 A 是可以因为永恒之蓝可以在目标机器以内存方式执行机器源码,但 B 仍然是实体文件程序。虽说这是个破坏型的病毒,只需要执行一次,不需要像木马那样希望开机常驻,但考虑到要实现勒索、解密功能,怎么可能光在内存就够了? 何况你也说了,它还有蠕虫的攻击特征,怎么会没有实体的程序文件?
    Technetiumer
        64
    Technetiumer  
       2017-05-15 01:48:41 +08:00 via Android
    @Domains 应该 A 加密后,再释放 B。

    如果 B 去加密文件,那么运行在内存中的 A 无非就是个下载器,下载了个普通勒索程序 B,B 有了实体文件就会被杀软文件监控扫描。

    如果 A 去加密,那么没有文件读写可以绕过杀软文件实时监控,加密后再释放解密和说明程序 B,这样到现在哪怕入库了只要没有内存扫描和主防的杀软也会被绕过。

    我看这个卡饭帖子写的是 A 释放了 B,B 加密文件。
    Domains
        65
    Domains  
       2017-05-15 02:29:23 +08:00
    @Technetiumer 对啊,A 是下载器也是一个实体程序文件的,典型就是木马下载器+真正木马模式,木马下载器很小巧,10KB 就够了,然后再偷偷后台下载真正的木马并运行释放。所以,要拦截也是有办法的,IDM 就够了,因为 IDM 能拦截所有下载请求。
    总之,你上面贴的那段太玄乎了
    msg7086
        66
    msg7086  
       2017-05-15 04:48:13 +08:00
    @Technetiumer 远程执行漏洞的话,应该是负责 SMB 的系统进程被植入了 A,要杀是一样能杀,只不过变成杀系统进程了而已……
    的确这得靠内存查杀和行为防御……
    Trim21
        67
    Trim21  
       2017-05-15 06:36:00 +08:00 via iPad
    @yicun 自动更新修复过的漏洞不也爆发了。。。关自动更新的应该也不会有用了 Windows defender。。。
    acess
        68
    acess  
       2017-05-15 08:38:34 +08:00   ❤️ 1
    这个东西主要还是靠神洞 eternalblue 传播的吧?不知道这和直接双击会不会产生不同的结果。原帖作者是直接双击的,并不是另找一台虚拟机来感染它。
    acess
        69
    acess  
       2017-05-15 08:43:03 +08:00
    @Domains
    MBR 木马“暗云”不就没有实体文件……
    还有 IDM 啥时候有安全功能了,万一人家不用 HTTP 协议呢?
    acess
        70
    acess  
       2017-05-15 08:52:14 +08:00
    @Technetiumer
    “该病毒是先在本地生成加密密钥,加密完才上传至服务器,察觉的快的话,没有杀软的情况下也可能挽救文件。”
    不知道这贴来自几楼?
    按照目前的分析,这病毒加密一个文件换一个密钥,是严谨 /恶毒的表现。虽然它确实干了强行获取文件可写权限、忘记抹掉未加密原始文件等错误,但我觉得本地生成加密密钥真的是亮点……(但如果病毒没及时从内存中清除掉私钥,折腾那么多就完全没意义了,内存 dump 即可破之)
    blues9
        71
    blues9  
       2017-05-15 09:01:07 +08:00
    有没有什么靠谱的专杀工具?不想为了它而新装一个杀毒软件。
    sxyuqiao
        72
    sxyuqiao  
       2017-05-15 09:28:58 +08:00 via iPhone
    @jasontse 这是测主防,不是特征扫描
    liaoyaoheng
        73
    liaoyaoheng  
       2017-05-15 09:53:04 +08:00
    Windows Defender 呢?
    littleylv
        74
    littleylv  
       2017-05-15 10:00:31 +08:00
    数字公司的那个笑死我了
    fate
        75
    fate  
       2017-05-15 10:06:11 +08:00
    @littleylv 没什么好笑的,360 的确是让普通用户最早并且最有效避免病毒的.
    littleylv
        76
    littleylv  
       2017-05-15 10:09:36 +08:00   ❤️ 1
    @fate #75 最早最有效的避免病毒的不应该是微软 3 月份的补丁么 [滑稽
    terence4444
        77
    terence4444  
       2017-05-15 10:11:16 +08:00 via iPhone
    @fate 哈哈哈哈哈
    lhw45202
        78
    lhw45202  
       2017-05-15 10:20:12 +08:00
    这种测试没什么意义
    fate
        79
    fate  
       2017-05-15 10:34:37 +08:00
    @littleylv 哈哈 可惜补丁没人打啊
    Quaintjade
        80
    Quaintjade  
       2017-05-15 10:35:47 +08:00
    @fate
    先把老奶奶推倒,然后第一个把老奶奶扶起既视感
    jbdxbl
    benjaminliangcom
        81
    benjaminliangcom  
       2017-05-15 11:17:39 +08:00
    怎么不测一下 windows defender
    md5
        82
    md5  
       2017-05-15 11:27:50 +08:00 via Android   ❤️ 1
    以前有 wd 吹,现在改吹火绒。
    他们觉得一个安静不骚扰就是好杀软。
    就是要一个所谓轻量级防护,图一个心理安慰。
    aev2ex
        83
    aev2ex  
       2017-05-15 11:40:50 +08:00
    Tink
        84
    Tink  
       2017-05-15 11:52:24 +08:00
    360 这个洗白我给 0 分
    skylancer
        85
    skylancer  
       2017-05-15 12:31:43 +08:00
    @Domains 你又知道人家会用 HTTP 下载?退一步,就算用 HTTP 我用 Stream 你 IDM 拦给我看?
    xvx
        86
    xvx  
       2017-05-15 12:48:07 +08:00 via iPhone
    我觉得毛豆的防火墙开了沙盒和 D+都能拦住了……
    Domains
        87
    Domains  
       2017-05-15 13:29:37 +08:00
    @skylancer 嗯,BT 这样本身 IDM 也不支持,但是这样的话,A 就要内置 BT 等的下载功能模块,A 的体积就变大了。这样 A+B 模式的话,应该类似于木马下载器+真木马这样模式,A 要保持小巧简洁,达到快速刺入对方系统的目的。

    @acess 写进 MBR 启动层也是文件啊,也是写入了硬盘啊,只是不是一般所看到存在于 Windows 的文件罢了,而且,暗云加载进系统,会释放出诸如 xnfbase.dll、thpro32.dll 等文件,这是它要实际它那些功能的模块,怎么没有实体文件。MBR 空间有限,必然木马体积也少,功能就受限,写入 MBR 只是为了保持常驻。具体的功能还得新下载模块文件。这个上面也说过了,这个勒索界面不是提供一个测试解锁的,让你相信它能解,放心付款,既然有这些功能,怎么会没有实体文件实现,全部挂到内存不现实,在我看来太玄学了。
    另,这也不是说 IDM 如何,只是说一种技巧,本身 IDM 也有局限的,是按扩展名归类的,.exe/.zip 等等才拦截,要是病毒换个扩展名也是没反应的,比如说早期 IE 有个漏洞,能把.css 文档错误执行,你把.exe 改成.css 挂到网页,用户打开网页就会中招。IDM 要有效就要把.css 扩展名加上。
    acess
        88
    acess  
       2017-05-15 13:47:37 +08:00 via Android
    @Domains MBR Bootkit 完全可以做到一个文件不“落地”啊。
    如果 MBR 是文件,那是不是能说一切皆文件……
    yylzcom
        89
    yylzcom  
       2017-05-15 13:49:08 +08:00
    @xvx #86 我去翻了卡饭的帖子,据说用 2010 年的毛豆都直接进沙盒,对文件无实际影响……
    yylzcom
        90
    yylzcom  
       2017-05-15 13:51:47 +08:00
    @xvx #86 另,以前我用 ss 的客户端,升级后配置文件一直被放沙盒里,导致每次开机都要修改端口才能使用,还以为是 ss 客户端的 bug,结果发现是毛豆的锅,一怒之下换火绒……
    xvx
        91
    xvx  
       2017-05-15 13:57:10 +08:00 via iPhone
    @yylzcom
    壮哉我大毛豆,不愧是我多年吹水专用的 HIPS 防御体系。。。
    基本上不在白名单内的,大毛豆都直接进沙(其实可以设置成询问是否进沙)。
    Domains
        92
    Domains  
       2017-05-15 14:27:36 +08:00
    @acess 你仔细看看#60 的描述…… “整个过程都隐藏在内存里,不进行任何文件读写” …… 这特么是玄学,然后你再看勒索病毒,都有个提示窗口,告诉你已被勒索了,要是真内存运行,不留文件,那么重启一次不就没有这勒索窗口了?没了这窗口,怎么再次提醒对方要付款的 BTC 钱包收款地址?利益怎么最大化?
    acess
        93
    acess  
       2017-05-15 15:35:17 +08:00 via Android
    @Domains
    已经有 Petya 这个 MBR 里的勒索软件了。蓝屏强制重启,重启时伪装成磁盘检查,实际上是执行加密。
    不过它用了被弱化的加密算法,被安全研究人员爆破了,即使不爆破,加密的也只有 MFT,找个 DiskGenius 仍然可以扫出文件来……说这些都跑题了,如果 WanaCry 也想到类似的思路了,可能只是编程麻烦一些,能产生的危害可能比现在还大。
    louisw128
        94
    louisw128  
       2017-05-17 17:27:18 +08:00
    @coolcfan 么么哒
    Chalice
        95
    Chalice  
       2017-05-23 11:48:55 +08:00
    @coolcfan 而且卡巴也有回滚失败的时候包括这一次的勒索的其他样本(逃
    Chalice
        96
    Chalice  
       2017-05-23 11:54:21 +08:00
    @Domains。。算不上 0day 吧,官方早就发布补丁了,这次的测试也是直接跑程序,就算没发布补丁也没涉及到攻防对抗方面的漏洞啊。
    coolcfan
        97
    coolcfan  
       2017-05-23 12:51:10 +08:00
    @Chalice #95 嗯,是有的。今天刚装了个卡巴,准备试用 30 天。
    Chalice
        98
    Chalice  
       2017-05-23 14:49:03 +08:00
    @coolcfan 而且就如你所说的,每次发新版都一堆 Bug,等修复的差不多了,这个版本也停止支持了,真的超尴尬
    coolcfan
        99
    coolcfan  
       2017-05-23 15:28:50 +08:00
    @Chalice #98 哈哈哈,是的,所以我之前一直没有去用……
    今天装的 2017 已经出到补丁 D 了,说是好了不少,然而 2018 已经在测试了。
    ivanlw
        100
    ivanlw  
       2017-07-06 13:08:08 +08:00
    @Technetiumer #57 Avast 免费有主防么?有什么 reference ?

    如果有的话,被他收购的 avg 免费版是不是也有
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1191 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 50ms · UTC 23:04 · PVG 07:04 · LAX 15:04 · JFK 18:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.