Żeby łatwo potem znaleźć:
[Aby zobaczyć linki, zarejestruj się tutaj]
CTB-Locker vs ZemanaAL v1.9.3.602: [Aby zobaczyć linki, zarejestruj się tutaj]
(sys 32bit)
CTB-Locker vs ZemanaAL v1.9.3.602: [Aby zobaczyć linki, zarejestruj się tutaj]
(sys 64bit)
CTB Locker vs HitmanPro Alert v3 RC build 143: [Aby zobaczyć linki, zarejestruj się tutaj]
CTB-Locker vs SpyShelter FW v9.6.3: [Aby zobaczyć linki, zarejestruj się tutaj]
(domyślne ustawienia)
CTB-Locker vs SpyShelter FW v9.6.3: [Aby zobaczyć linki, zarejestruj się tutaj]
("podkręcone" ustawienia)
[dodano 2015.03.06]
CTB-Locker vs Online Armor v7.0.0.1866: [Aby zobaczyć linki, zarejestruj się tutaj]
Zerknąłem na każde nagranie i co prawda nie zagłębiałem się w nie, ale z tego co zauważyłem, to HPA spisał się całkiem całkiem. Bardzo dobrze. Tymczasem szkoda, że SpyShelter nie podołał. Dzięki za filmiki!
Dzięki za testy.
A próbowałeś testować SpyShelter z aktywną opcją wczesnego startu? Być może po restarcie szkodnik uruchomił się jako pierwszy i dlatego nie został zablokowany.
U mnie SpyShelter nie dopuszcza do zaszyfrowania, i z tego co widzę mam więcej komunikatów.
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak samo u mnie. Po zakończeniu procesu i restarcie nie szyfruje plików.
a shadow defender radzi sobie z nim ?
Kurde...nie wiem, gdzie znaleźć punkt zaczepienie, żeby się przyczepić do testu...SS nie dał rady i chyba nie rozumiem tego. Nie wiem, jak z innymi kombinacjami w opcjach, ale na pewno automatyczne blokowanie podejrzanych zachowań było wyłączone...i to chyba tyle...może jeszcze gdyby zamiast "zakończ" wcisnąć "blokuj", choć w regułach było jak byk, że zablokowane wszystkie akcje...to dziwne. W pliku pomocy odnośnie "zakończ" jest może istotna informacja - podkreśliłem ją.
Cytat:Poza opcją Zezwól i Zablokuj istnieje jeszcze opcja Zakończ.
Opcja Zakończ natychmiast blokuje daną akcje i zamyka proces który ją wywołał, jednocześnie tworząc regułę która zapobiegnie uruchomieniu tej aplikacji w przyszłości.
Uwaga: Akcja ta nie zakańcza procesów-dzieci danego procesu.
To może być ewentualne wytłumaczenie zachowania SS.
No ale w ustawieniach w obu testach był checkbox przy "Zakończ procesy potomne". Więc musi zamykać "procesy dzieci". Z tego co zauważyłem w teście tommy''ego SS nie zareagował na główny plik (8002e....exe) tylko pokazał alert na procesie dziecku(yqprmcc.exe) i to już było po jabłkach. Natomiast u F4z''a widać alert głównego exe i wystarczyło dać zakończ i zostały zamknięte również procesy dzieci i co za tym idzie nie doszło do infekcji.
Dziwne to bardzo.
Ten bezinstalacyjny programik Bitdefendera też blokuje CTB-Lockera.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Gdy próbuje się uruchomić szkodnika, nie ma żadnych komunikatów. Nic się nie dzieje. Jego proces jest blokowany. Po restarcie także.
Ciekawe jak sobie radzi OA z tym szkodnikiem.Blokuje raczej na pewno,
pytanie w której fazie i jakie daje komunikaty.
A program Bitdefendera chyba blokuje podobne lokalizacje jak CryptoPrevent...
Czy ktoś mógłby przetestować na tej samej próbce starą wersję SpySheltera - 9.6.1? To wg mnie wersja przed ostatnimi zmianami w programie, które spowodowały pewnie większą wygodę, bo program sam podejmuje decyzje, ale równocześnie stał się mniej "wrażliwy i gadatliwy". Jak będzie potrzeba, to mogę udostępnić instalkę.
bede miał czas to sprawdzę na każdym sofcie przekroju HIPS jaki posiadam i dam ci obszerne info
Instalki możecie pobrać odemnie:
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie ma jednak chyba sensu testować programów już nierozwijanych i czasem zapomnianych - pewnie dobrze byłoby sprawdzić OA, Privatefirewall, Outpost...to zapory, ale wszystkie z modułem proaktywnym, który jest ceniony za skuteczność.
OA radzi sobie z tym zagrożeniem nie szyfruje plików.
Spyshelter 9.6.3 radzi sobie z tym przy funkcji zapamiętaj wybór > zastosuj wybór i zamknij proces,nie radzi sobie w ogóle przy zapamiętaj wybór > zastosuj wybór i zablokuj.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Comodo
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.
Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
tachion napisał(a):Comodo
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.
Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
Comodo najlepiej poradzi sobie z tym, przy użyciu funkcji: "
Blokuj, zamknij proces i cofnij zmiany".
Quassar napisał(a):a shadow defender radzi sobie z nim ?
[Aby zobaczyć linki, zarejestruj się tutaj]
A teraz pytanie może retoryczne...czy Wasze testy były na kontach admina czy zwykłego użytkownika? Bo interesujące by było wiedzieć, czy konto z restrykcjami daje jakąś odporność na takie kryptolokery.
Szczerze wątpię, nie próbuje modyfikować plików systemu, tylko zdjęcia/dokumenty szyfruje, wręcz logicznym byłoby robić lockery w taki sposób, żeby nie tykały się rzeczy związanych z systemem w celu zmniejszenia możliwości wystąpienia jakiegoś alertu.
M''cin napisał(a):Szczerze wątpię, nie próbuje modyfikować plików systemu, tylko zdjęcia/dokumenty szyfruje, wręcz logicznym byłoby robić lockery w taki sposób, żeby nie tykały się rzeczy związanych z systemem w celu zmniejszenia możliwości wystąpienia jakiegoś alertu.
To prawda, że efektem są wybrane rodzaje plików, ale proces do uruchomienia potrzebuje określonych zasobów i powiązania z systemem...stąd moje pytanie o konto z ograniczeniami. Tym bardziej, że modyfikowane są również domyślnie systemowe lokalizacje jak np. wygaszacze czy tapety.
Przy zamykaniu procesu to Spyshelter również radzi sobie doskonale przy samym blokowaniu (sam HIPS na paranoid) CTB przechodzi Comodo z latwoscia i szyfruje pliki kilkanascie alertow i okolo 7-8 min czekania, pisalem o tym gdzie indziej
zbc napisał(a):tachion napisał(a):Comodo
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
[ [Aby zobaczyć linki, zarejestruj się tutaj]
]
jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.
Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
Comodo najlepiej poradzi sobie z tym, przy użyciu funkcji: "Blokuj, zamknij proces i cofnij zmiany".