Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》假Flash升級勒索病毒與InterceptX的正面交鋒 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》假Flash升級勒索病毒與InterceptX的正面交鋒引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

上週在Mobile01上看到一則 假的flash升級勒索病毒在伊莉論壇爆發,執行後電腦會被加密勒索。
該病毒的特色是檔案被加密後,檔案名稱不會改變還是維持原樣。

Sophos InterceptX號稱是透過行為分析來阻擋勒索病毒的加密行為,
剛好Mobile01上有病毒樣可供下載,
所以順子就架了一個win7的虛擬機,然後“只”裝了InterceptX來進行防護測試。

InterceptX裝完後,版本顯示如下,已是最新pattern。



然後開始執行此病毒檔案。





執行過程中,InterceptX並未出現任何通知,
執行後沒任何反應...

然而重開機後,勒索病毒跳出訊息!



顯示以下檔案已被加密勒索!?




實際比對這檔案清單,發現只有最下面JPG圖檔案未被成功加密,
其它bmp,wma,txt等檔案均被加密了!


↑bmp檔被加密了


↑wma音檔被加密了


↑txt文字檔被加密了


↑txt文字檔被加密了


↑txt文字檔被加密了


↑只有jpg檔未被加密...


查看InterceptX,雖然有顯示狀況,但檔案就如上所述,除了JPG檔外,其它都被加密了...






雖然說InterceptX是透過行為觀察來封阻加密程序,
但以這個最近在流行的勒索病毒來說,
InterceptX看來是沒有發揮到預期作用的...

不過在順子測試的同一時間,Sophos EndPoint倒是有成功識別出這假flash升級檔是病毒檔。

每一家防毒軟體都有其噱頭,號稱可以如何有效的防禦病毒的攻擊,
然而由測試結果來看,百密總有一疏,
千萬不要以為裝了防毒軟體或防加密勒索軟體就萬無一失,
總有新形態的病毒被創造,也有零時差的風險在,
使用者的安全意識還是最重要的!

不要亂點不明連結、不上奇奇怪怪的網站、不要輕易相信網路上各種廣告,
安裝可靠、有信譽的防毒軟體,
這樣病毒才會遠離你!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2017-05-10, 23:09 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR