用卡巴免费版真的不如用 BD 免费版，BD 免费版带 ATC 主防

免费版没主防的，纯靠病毒库，而且只能大陆用，国外 IP 用不了

@Domains 应该 A 加密后，再释放 B。

如果 B 去加密文件，那么运行在内存中的 A 无非就是个下载器，下载了个普通勒索程序 B，B 有了实体文件就会被杀软文件监控扫描。

如果 A 去加密，那么没有文件读写可以绕过杀软文件实时监控，加密后再释放解密和说明程序 B，这样到现在哪怕入库了只要没有内存扫描和主防的杀软也会被绕过。

我看这个卡饭帖子写的是 A 释放了 B，B 加密文件。

@spice630 明明网页可以解决的问题，非要抢占用户桌面强制使用 app，国内很多网站都这么干

@baskice 例如，稍微会写点 win 程序的都能写勒索，一般勒索和普通程序没啥区别，也不需要利用漏洞，就是个加密程序而已，没有杀软你怎么知道它是勒索？光打补丁有用？万一手欠自己双击岂不是中奖。。。

@baskice 不是所有恶意程序都是利用漏洞的啊，没有杀软识别，万一被骗了，双击了老勒索咋办？

除了行为分析拦截新毒，还可以用病毒库拦截老毒啊，省得自己入沙判断

另外 WD 的动态启发很烂的，而且没有主防

另外杀软不只是病毒库和行为分析，还有云快速拉黑，信誉云，HIPS

这么一个牛逼的漏洞被这么一个有缺陷的勒索爆了

估计无数 xx 人员气的想骂人

离线勒索软件思路

AES 加密文件，RSA 公钥加密 AES 密钥，要求用户通过 tor 的.onion 网站提交被 RSA 加密的 AES 密钥文件，同时还要用户提交即将用于支付赎金的比特币钱包地址，这样能绑定用户和比特币钱包地址，然后要求用比特币付款，暗网网站后台程序自动验证，自动用 RSA 私钥解密 AES 密钥文件，向用户发放 AES 解密密钥，用户向解密器填入专属 AES 密钥解密。

全程被害电脑可以断网，赎回文件可以用其他电脑操作。

@Domains

转自卡饭

该病毒最精华的部分，也就是让它带有蠕虫性质的自动入侵模块，其实是照搬自今年 3 月被维基解密曝光的 NSA （美国国家安全局）的网络武器——“永恒之蓝“。 而在“永恒之蓝”完成入侵后，接下来的东西就暴露了作者的水平。

单就“永恒之蓝”，其入侵手段非常完美，利用远程执行漏洞，使用 Shellcode 获取管理员权限，整个过程都隐藏在内存里，，不进行任何文件读写，完美规避安软的文件扫描（部分安软的基于进程的内存扫描也很难扫到），那么这个拥有管理员权限，几乎可以为所欲为的 Shell 做了什么呢？仅仅只是联网下载病毒本体到 ProgramData 文件夹，并将其执行，然后就
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
自动退出了。。。。。。。。。。。
合着国家级的入侵工具，你就拿它当下载器？
亏得刚刚避过了安软的文件扫描，一下载文件到硬盘，完全破功，很多静态扫描强的安软，这时候很可能就把本体杀掉了。至于下回来的本体，就是一普通的勒索加密，用的是自加密的最初级加壳方式，直接使用命令获取所有文件的写权限，动作之大，只能说掩耳盗铃，视安软的主防于无物，从下面的测试里也能看出，断网状态、16 年 12 月行为特征库的各大安软就纷纷将其斩于马下。更无语的是，该病毒是先在本地生成加密密钥，加密完才上传至服务器，察觉的快的话，没有杀软的情况下也可能挽救文件。

再次推荐使用知名大厂带本地主动防御杀软

其中免费的有
BD
Avast

@zea
@wzw
@WhisperTseng
@wisefree
ESET、Avira 没防住，这些杀软是 **没有主防** 的（行为分析）
纯靠快速响应拼速度的，没入库就完蛋
ESET 有 HIPS，如果用 HIPS 规则禁止写入修改重要文件也能算防住，不过弹窗烦死你
红伞有 APC （上传，分析，拉黑）



@Domains
WNCRY 利用永恒之蓝漏洞攻击后，释放了一个和一般勒索程序没啥区别的衍生物程序来勒索的，而不是直接利用漏洞执行勒索行为
也就是说，白白浪费了漏洞无需写入硬盘即可执行的特性，释放了一个普通的勒索程序，而且设计还有缺陷
因此个人认为杀软防御普通勒索和 WNCRY 的难度没有区别



@rosu
火绒主打行为分析（主防和动态启发）的，病毒库弱，如果行为分析不行，火绒只能用防流氓了
火绒的行为分析和 avast 的行为分析防 Cerber 很好的，这次 WNCRY 没防住而已
之前 BD 的 ATC （主防）还总被 Cerber 过呢，入库也缓慢



@jasontse
@chocolatesir
WisdomEyes 是百度自家引擎（慧眼），而且测试中 BD 是主防拦截（ ATC ），不是入库
WisdomEyes 似乎很牛逼，总是第一时间拉黑，不知道会不会是传到 VT 不管是什么先拉黑再说



@mikeven
总结：无主防杀软都是辣鸡~

WanaCrypt0r 勒索病毒：19 款杀软主防测试
http://bbs.kafan.cn/thread-2089134-1-1.html

你们说该用什么？
当然是 BitDefender Free ！！！！

不过我还是喜欢 Avast。

为什么公安等“国家部门”不用 Linux ？
而使用 Windows 又怕后门、机密泄漏
公安还在用 XP 和 IE，连 Win7 都不是

Windows Firewall
IPSEC
NETSH
火绒

PS: 听说火绒在第二天才响应，处理这个病毒

目前国外有行为分析的免费杀软有
Avast
AVG
BitDefender Free

目前国内有行为分析的干净杀软有
火绒

个人认为的一流级别的付费杀软有
Kaspersky
BitDefender
Norton
Trend Micro

个人推荐使用的杀软
Avast

世界核平

昨天浮尘 今天扬沙
北京真是好地方，雾霾 浮尘 扬沙 沙尘暴 都不缺

我还以为是 就差一个程序员 系列