《分享》假Flash升級勒索病毒與InterceptX的正面交鋒

上週在Mobile01上看到一則 假的flash升級勒索病毒在伊莉論壇爆發，執行後電腦會被加密勒索。
該病毒的特色是檔案被加密後，檔案名稱不會改變還是維持原樣。

Sophos InterceptX號稱是透過行為分析來阻擋勒索病毒的加密行為，
剛好Mobile01上有病毒樣可供下載，
所以順子就架了一個win7的虛擬機，然後“只”裝了InterceptX來進行防護測試。

InterceptX裝完後，版本顯示如下，已是最新pattern。



然後開始執行此病毒檔案。





執行過程中，InterceptX並未出現任何通知，
執行後沒任何反應...

然而重開機後，勒索病毒跳出訊息！



顯示以下檔案已被加密勒索！？




實際比對這檔案清單，發現只有最下面JPG圖檔案未被成功加密，
其它bmp，wma，txt等檔案均被加密了！


↑bmp檔被加密了


↑wma音檔被加密了


↑txt文字檔被加密了


↑txt文字檔被加密了


↑txt文字檔被加密了


↑只有jpg檔未被加密...


查看InterceptX，雖然有顯示狀況，但檔案就如上所述，除了JPG檔外，其它都被加密了...






雖然說InterceptX是透過行為觀察來封阻加密程序，
但以這個最近在流行的勒索病毒來說，
InterceptX看來是沒有發揮到預期作用的...

不過在順子測試的同一時間，Sophos EndPoint倒是有成功識別出這假flash升級檔是病毒檔。

每一家防毒軟體都有其噱頭，號稱可以如何有效的防禦病毒的攻擊，
然而由測試結果來看，百密總有一疏，
千萬不要以為裝了防毒軟體或防加密勒索軟體就萬無一失，
總有新形態的病毒被創造，也有零時差的風險在，
使用者的安全意識還是最重要的！

不要亂點不明連結、不上奇奇怪怪的網站、不要輕易相信網路上各種廣告，
安裝可靠、有信譽的防毒軟體，
這樣病毒才會遠離你！

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!