请完成以下验证码
查看: 23892|回复: 168
勒索病毒实机首测体验
本帖最后由 冷月残刀 于
12:35 编辑
第一次实机测试了两个勒索病毒 ，系统WIN7 64位。分别以连网和断网的形式来进行解压加扫描的操作（过几天再测断网双击，如果有条件想测无病毒库下的主防）。测试杀软都用的是国内免费杀软，并且关闭第三方引擎。在这里我首先要严重鄙视一下瑞星，它的卸载确实让我感到了极度恶心，具体情况下面会详细说明；
一解压管家就提示发现病毒，并立马隔离，灵敏度之高让我很欣慰。不过后来的断网却表现的不尽人意，解压扫描都未发现病毒 。
腾迅管家.png (0 Bytes, 下载次数: 16)
20:22 上传
电脑管家断网.png (0 Bytes, 下载次数: 13)
20:22 上传
2，金山卫士
解压后并未发现病毒 ，不过右键扫描kill 。断网后同样无法查杀。
金山.png (0 Bytes, 下载次数: 14)
20:29 上传
金山断网.png (0 Bytes, 下载次数: 15)
20:29 上传
解压后立马发现并隔度，断网后同样无法查杀。
瑞星杀毒解压.png (0 Bytes, 下载次数: 14)
20:32 上传
瑞星断网后.png (0 Bytes, 下载次数: 12)
20:32 上传
在这里我要重点说的是瑞星的卸载，想不到这么多年过去了，瑞星还是如此尿性，在卸载的时候卸载程序却显示的是修复瑞星，点击修复里面的一个不显眼的地方会有一个“狠心卸载”，最无耻的是卸载后发现右键还会有瑞星扫描，点击后瑞星满血复活。于是第二次卸载，这次卸载却设了重重关卡来蒙蔽忽悠阻止用户卸载，最不要脸的是居然还要输验证码。好吧，我以为这样就可以彻底卸载了，可是最后依然给我留了个瑞星系统部署的服务。在这里我对瑞星说的是：如果你们家的杀软做的好，用户是不会误卸的，你搞那么多机关么用。如果用户不想用你家的杀软，你的流氓与无赖只会让用户更恶心。
瑞星卸载1.png (0 Bytes, 下载次数: 15)
20:46 上传
瑞星卸载2.png (0 Bytes, 下载次数: 12)
20:46 上传
最后感谢坛友提醒，让我找到第一次没有卸载的原因，吖的，以后凡是瑞星的东西拒绝再次体验，也不会再测试。五年前被这样套路过，现在还玩这套，流氓点算了，还要无底线的无耻么
4，360卫士，360杀毒
360卫士在边网的状况扫描发现病毒 ，断网后无法查杀。360杀毒却表现的让人惊喜，解压后立马发现并隔离，断网后扫描依然可以查杀。
360安全卫士.png (0 Bytes, 下载次数: 13)
20:49 上传
360.png (0 Bytes, 下载次数: 14)
20:49 上传
360断网.png (0 Bytes, 下载次数: 12)
20:49 上传
扫描发现病毒 ，断网后扫描依然可以查杀
火绒.png (0 Bytes, 下载次数: 13)
20:52 上传
火绒断网.png (0 Bytes, 下载次数: 14)
20:52 上传
PS刚刚用卡巴免费版测试了一下，差距啊，太强了，国内这些真的没法比啊。不管是断网还是连网，一解压就立马发现病毒 ，最关键的是卡巴会先锁死文件，然后先进行清毒，清不掉的时候直接隔离。。。。我天，不比不知道啊，一比吓一跳啊。
卡巴.png (0 Bytes, 下载次数: 13)
21:52 上传
2345截图14.png (0 Bytes, 下载次数: 13)
21:52 上传
这次测试的样本，全都是卡饭下载的，一共四个，这里一起打包上传，有兴趣的朋友你们都可以玩玩。本人只是心血来潮，碰巧又搞了个要处理的硬盘，所以就试着测测玩玩了，等下我再试试断网又击运行
12:35 上传
点击文件名下载附件
473.77 KB, 下载次数: 21812
版区有你更精彩： ）
版区有你更精彩： ）
瑞星也是纯云的？
头像被屏蔽
提示: 该帖被管理员或版主屏蔽
瑞星也是纯云的？
勒索软件测扫描··· ···我可以说没多大意义吗？勒索样本肯定开始是不入库的所以启发、扫描什么的，对防勒索没多大效果
瑞星也是纯云的？
这个就不知道了，在连网的状况下，一解压到是就发现了病毒，可是断网后和死鱼一样。
其实360套装和火绒我感觉还行。
本帖最后由 冷月残刀 于
21:08 编辑
勒索软件测扫描··· ···我可以说没多大意义吗？勒索样本肯定开始是不入库的所以启发、扫描什么 ...
有没有什么好办法，用主防测勒索的。我这里有个不要的硬盘，可以随便测毒，只要不是那种局域网和破坏COMS的病毒都可以随便测
有没有什么好办法，用主防测勒索的。我这里有个不要的硬盘，可以随便测毒，只要不是那种局域网和破坏CO ...
联网更新好毒库之后再测双击。最好是那种扫描不报毒的样本
联网更新好毒库之后再测双击。最好是那种扫描不报毒的样本
直接断网测双击不是更好，我就是想看看那家的主防和形为防御强
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.3( 苏ICP备号 ) GMT+8,这次勒索病毒的时间，360是不是吹的有点过了？【wp7吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：265,832贴子：
这次勒索病毒的时间，360是不是吹的有点过了？收藏
这次勒索病毒，360能防护的说明看了很多。看了卡饭论坛的测试，最锁库+断网的hard模式下，360并没有通过，可见360处理勒索病毒还是依靠云拉黑啊。。大数字和国际著名杀软比，还是差了不少啊。国际杀软即使锁到去年的病毒库+防止连云端的前提下，遇到勒索病毒都一样能解决。
承办方:丽江市体育局 丽江斐瑞康网络科技有限公司
不得不说，卡巴和BD真是厉害，就没怎么失手过
文中的360太旧了，新一点版本的甚至会把我的比特币钱包视为勒索病毒，防病毒应该没有问题。360默认没有本地病毒库吧，要本地库可以手动开启小红伞引擎
因为大数字默认是没有本地病毒库的，要另外去下　?﹏﹏　醉翁之意不在酒长者之意不在寿
360就那么大哪来的病毒库。去年的主防确实不如国外。另外还有个测试说腾讯管家能防住部分呢...........360主要是入库快，第一批没救了，第二批能防住。主防里也就那些能防住的，很多主防都是被加密完才开始删
不不不，很多用盗版又没安全意识的全靠360恐吓式打补丁，正好逃过一劫
国内只有360效果好，病毒库为啥锁去年的。。。
卡巴和bd强的代价是拖慢和卡网，360主防靠云，断网本来就不行
有没有试过装了bit/小红伞引擎试的？
甘家口建筑书店，建筑书店，低价任你来选！
这是微软为了清除wp设备的阴毛
不过大数字本地鶸这个是一贯的我要用也得装其他引擎一起上
数字的本地库不是有bd和红伞么
360有本地库？
其实我觉得云查杀做好了一般也就够了，现在的网络状况不联网，加上U盘有毒的情况对于个人用户来说很少见了。。。
360本地查杀靠废柴一样的启发引擎，确实**。不过我不明白为什么要断网比，360在全国的巨大装机量导致其云库是其他厂商无法比拟的优势，这病毒联网中的，偏偏比断网查杀?这等于扔下滑膛抢和敌人拼冷兵器
国产断网也能战的恐怕只有微点了，然而。。。
中国军方都在靠360活着。不WannaCry是美国国家网络武器库被黑被盗窃出来得病毒。但是中国国家国土安全局现在也没办法应付。如果在战争中美国放出这个病毒可能就要死成千上万得中国士兵。
卡巴的杀猪声
这破病毒能过卡巴回滚吗，据说这几年卡巴回滚巨强！
算了吧，这次一堆老xp sp2的电脑，什么杀软也没装，一样没中
确定是遇到了，是依靠杀软防住了是一回事就没能遇上的，才是大多数，杀软吹牛时往往是这批用户给算进去了
我现在只用360打补丁，微软的官方更新太***了，巨慢。平时杀软就个微软自带的货 还可以的。
赛门铁克今天的更新已经解决了下班前赛门铁克邮件通知的
卡巴现在平时很安静。。。。不错不用毛豆了。。。。。
用的火绒，防防别人u盘插我电脑上
360只要能够提醒然后一键安装就行…搞那么多攻略实话实说我算了解点电脑的都觉得太烦了…360安全卫士直接出个工具一键安装，傻瓜都懂
联网查杀大法好，希望360早日清退日资美资引入国资好过保密局的政审我实在受不了瑞星那**了
登录百度帐号推荐应用||广告合作：
||||||||||||||||||||||||||
&国家网络与信息安全信息通报中心紧急通报：日20时左右，新型&蠕虫&式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。此前报道：紧急!国内爆发新型勒索病毒!中国多所高校已中招
请广大计算机用户尽快升级安装补丁，地址为：/zh-cn/library/security/MS17-010.aspx。
2003和XP没有官方补丁，相关用户可打开并启用Windows防火墙，进入&高级设置&，禁用&文件和打印机共享&设置;或启用个人防火墙关闭445以及135、137、138、139等高风险端口。
已感染病毒机器请立即断网，避免进一步传播感染。
此前报道：
正值毕业论文季，一种新型勒索病毒爆发，为高校学生们带来了挑战。近日这种病毒在国内一些高校的教育网、校园网已经造成了影响，致使许多实验室数据和毕业设计被锁，昨夜今晨多家高校发布紧急通知，提醒师生注意。
根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的&永恒之蓝&发起的病毒攻击事件。&永恒之蓝&会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫，运营商对个人用户已封掉445端口，但是教育网并没有此限制，仍然存在大量暴露445端口的机器。据有关机构统计，目前国内平均每天有5000多台机器遭到NSA&永恒之蓝&黑客武器的远程攻击，教育网就是受攻击的重灾区!
感染病毒后需要支付比特币才能恢复。
延伸阅读：
除了国家网络与信息安全信息通报中心的建议外，小编帮您整理了一份临时解决方案，现在小编就手把手教你：如何设置电脑，防范勒索病毒。
临时解决方案：
开启系统防火墙
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
打开系统自动更新，并检测更新进行安装
360公司发布的&比特币勒索病毒&免疫工具下载地址：/nsa/nsatool.exe
Win7、Win8、Win10的处理流程
1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙
2、选择启动防火墙，并点击确定
3、点击高级设置
4、点击入站规则，新建规则
5、选择端口，下一步
6、特定本地端口，输入445，下一步
7、选择阻止连接，下一步
8、配置文件，全选，下一步
9、名称，可以任意输入，完成即可。
XP系统的处理流程
1、依次打开控制面板，安全中心，Windows防火墙，选择启用
2、点击开始，运行，输入cmd，确定执行下面三条命令
net stop rdr
net stop srv
net stop netbt
3、由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。
敲诈者木马正处于传播期，被病毒感染上锁的电脑还无法解锁。建议尽快备份电脑中的重要文件资料到移动硬盘、U
盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。
【责任编辑：宋月丽 】
热门点击排行
中国·河南·郑州国家经济技术开发区第五大街经北三路
电话：6 (广告)
联系信箱：
邮编：450016勒索病毒新变种：上班先拔网线关WiFi,再开电脑！
近期全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，目前已有国内外多个高校校内网、大型企业内网和政府机构专网被感染，系统一旦被感染，Office、PDF等重要文件将被加密，需要向黑客支付高额赎金才能解密恢复文件，对重要数据造成严重损失。 此次勒索病毒可远程攻击Windows的文件共享端口，如果系统未及时更新补丁或关闭端口，无需用户任何操作，只要开机联网，攻击者就能在电脑里执行任意代码，植入勒索病毒等恶意程序。
下午，国家网络与信息安全信息通报中心发出就勒索病毒发布紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。
几乎与此同时，北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》同样指出，WannaCry 勒索蠕虫已经出现新变种，并给出了具体处理建议。
几个小时前，英国BBC发文称：安全专家警告，下一波网络攻击即将来临，很可能在星期一。
附：《通知》全文
关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知
各有关单位：
有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。
一、请立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为/zh-cn/library/security/MS17-010；对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。
三、一旦发现中毒机器，立即断网。
四、启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口，关闭网络文件共享。
五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
六、尽快备份自己电脑中的重要文件资料到存储设备上。
七、及时更新操作系统和应用程序到最新的版本。
八、加强电子邮件安全，有效的阻拦掉钓鱼邮件，可以消除很多隐患。九、安装正版操作系统、Office软件等。
北京市委网信办
北京市公安局
北京市经信委
知道吗，这是真的，不是狼来了！
什么都不用说，先断网，再备份！
拔掉网线，关掉WiFi，然后开机备份文档。
注意注意！不要备份在本机和网络硬盘上。
第三步：紧急备份：您看到预警通知后，建议您即刻断开办公终端的网络连接，通过移动存储设备（U盘、移动硬盘等）对重要办公文件进行备份，这样即使计算机遭遇了勒索软件攻击，您也能够恢复所有文件。
控制面板 &防火墙&高级设置 & 在入站规则(新建规则) & 端口 & TCP打勾 &特定输入(445) & 阻止连接 & 名字輸入(阻挡勒索病毒连接名)
具体如下：
1. 打开控制面板-&系统和安全-&Windows 防火墙
2. 点击高级设置（打开高级安全Windows防火墙）
3. 在入站规则（也就是外网访问你的电脑的规则）图标上右键-&新建规则
移除点击此处添加图片说明文字
4. 点击端口，然后点击下一步
移除点击此处添加图片说明文字
5. 点击TCP， 然后在“特定本地端口”里输入445
移除点击此处添加图片说明文字
6. 点击下一步
7. 点击阻止连接
移除点击此处添加图片说明文字
8. 点击下一步
9. 全选上，然后下一步。
10. 随便起名字，然后完成。
到这里，你完成了阻止所有通过445端口连接你的电脑的连接。。。。不放心的可以再把UTP也阻止了(方法一样）。
445端口关闭后，本机cmd窗口执行命令"netstat -ano | findstr ":445""，回车后无任何返回。
这样确保了你上网时不被病毒攻击
第五步：连接网络，打补丁
补丁升级地址：
更新最新的5月份KB4012264补丁，如果你的更新记录如下，则表示已更新
Windows 7 : KB4012215 或 KB4015549 或 KB4019264
Windows 8.1:KB4012216 或 KB4015550 或 KB4019215
Windows 10
直接去Windows更新便可
Windows 8.1 64：
/c/msdownload/update/software/secu/2017/05/windows8.1-kb_d06fa047afc97c445ca.msu
Windows 8.1 32：
/c/msdownload/update/software/secu/2017/05/windows8.1-kb_fe1cafb988ae5db345faf7bac587d7.msu
Windows 7 64：
/c/msdownload/update/software/secu/2017/05/windows6.1-kb_c2d1cef74d6cb4c124b207d0d0540f.msu
Windows 7 32：
/c/msdownload/update/software/secu/2017/05/windows6.1-kb_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu
针对老版本Windows，微软已推出KB4012598 :
Windows Vista 32/64
Windows Server
Windows 8 32/64
Windows XP SP3
Windows Server 2003
http://www.catalog./Search.aspx?q=KB4012598
什么是WannaCry？就是一些混蛋编写的利用Windows中的SMB漏洞的病毒代码，也被称为Wana Decrypt0r，WannaCryptor或WCRY，和其它勒索病毒变体一样，阻止你访问计算机或文件，并要求支付赎金解锁文件。
该病毒具有传染性，传播快，所以请大家务必对自己的电脑升级防护，避免二次传播。
最后，如果你被感染，千万不要支付他妈的赎金，这助长这些混蛋的嚣张气焰，没准还会要你支付更多的赎金。
如果发现被感染，赶快关机，交给专业人士处理。
千万不要打开可疑的电子邮件，永远不要打开可疑的附件！
作者：@中国好4G ：资深分析师｜特约撰稿人｜新媒体专栏作者｜手机评测专家}