Shunze 學園 (http://www.shunze.info/forum/index.php)
|- 病毒追追追 (http://www.shunze.info/forum/board.php?boardid=6)
|-- 《分享》假Flash升級勒索病毒與InterceptX的正面交鋒 (http://www.shunze.info/forum/threadid.php?boardid=6&threadid=2038)


作者: shunze 發表時間: 2017-05-10, 23:09:

《分享》假Flash升級勒索病毒與InterceptX的正面交鋒

上週在Mobile01上看到一則 假的flash升級勒索病毒在伊莉論壇爆發,執行後電腦會被加密勒索。
該病毒的特色是檔案被加密後,檔案名稱不會改變還是維持原樣。

Sophos InterceptX號稱是透過行為分析來阻擋勒索病毒的加密行為,
剛好Mobile01上有病毒樣可供下載,
所以順子就架了一個win7的虛擬機,然後“只”裝了InterceptX來進行防護測試。

InterceptX裝完後,版本顯示如下,已是最新pattern。



然後開始執行此病毒檔案。





執行過程中,InterceptX並未出現任何通知,
執行後沒任何反應...

然而重開機後,勒索病毒跳出訊息!



顯示以下檔案已被加密勒索!?




實際比對這檔案清單,發現只有最下面JPG圖檔案未被成功加密,
其它bmp,wma,txt等檔案均被加密了!


↑bmp檔被加密了


↑wma音檔被加密了


↑txt文字檔被加密了


↑txt文字檔被加密了


↑txt文字檔被加密了


↑只有jpg檔未被加密...


查看InterceptX,雖然有顯示狀況,但檔案就如上所述,除了JPG檔外,其它都被加密了...






雖然說InterceptX是透過行為觀察來封阻加密程序,
但以這個最近在流行的勒索病毒來說,
InterceptX看來是沒有發揮到預期作用的...

不過在順子測試的同一時間,Sophos EndPoint倒是有成功識別出這假flash升級檔是病毒檔。

每一家防毒軟體都有其噱頭,號稱可以如何有效的防禦病毒的攻擊,
然而由測試結果來看,百密總有一疏,
千萬不要以為裝了防毒軟體或防加密勒索軟體就萬無一失,
總有新形態的病毒被創造,也有零時差的風險在,
使用者的安全意識還是最重要的!

不要亂點不明連結、不上奇奇怪怪的網站、不要輕易相信網路上各種廣告,
安裝可靠、有信譽的防毒軟體,
這樣病毒才會遠離你!

Powered by: Burning Board 1.1.1 2001 by WoltLab
Taiwan Translation by Achi