-
-
[原创]嘿嘿:)实验对疑似Snatch勒索的防御与检测
-
发表于: 2020-5-17 10:54
-
1 前言
该勒索是golang编写的,目前检测率不高。加了upx后检测率为17/71,脱壳后检测为10/71。
以上这个样本作为实验对象是不错的,因为国内引擎目前还没给标记检测到威胁,排除优先规则入库的干扰。
2 实验对象一:火绒
由于是自己的测试环境,快照保存的是3月1日的病毒库,先实验看看,之后看看需不需要更新,本地先断网。
先常规的对其进行右键扫描下,发现没有扫描到任何风险。
接着在本地实验环境开启火绒的勒索诱捕功能,之后第一次双击运行后,被行为监控给拦截了,指出了是勒索软件,但是家族并未给出。
确实能依靠行为检测,拦截通用加密恶意软件。
第二次实验环境就以右键管理员权限运行,这次运行后不会拦截,但之后还是会因为行为而被拦截。
接下来不开启勒索诱捕作为对比,以非管理员权限双击运行, 不会拦截,但是会因为通用加密行为而被拦截。
3 实验对象二:数字
试试装机量很大的数字(卫士与杀毒都安装了),如下,安装好后,已经是今天的木马库,也是最新的版本。
这些功能都开启吧,避免实验误差。
然后断网呢?以下是本地双击运行(非管理员右键运行)......
4 实验对象
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-5-17 10:55
被jishuzhain编辑
,原因:
