+- SafeGroup (https://safegroup.pl)
+-- Dział: Publikacje (https://safegroup.pl/forum-27.html)
+--- Dział: Testy (https://safegroup.pl/forum-22.html)
+--- Wątek: CTB-Locker vs antiEXE video (/thread-9132.html)
Strony:
1
2
CTB-Locker vs antiEXE video - tommyklab - 09.02.2015
Żeby łatwo potem znaleźć:
[Aby zobaczyć linki, zarejestruj się tutaj]
CTB-Locker vs ZemanaAL v1.9.3.602:
[Aby zobaczyć linki, zarejestruj się tutaj]
(sys 32bit)CTB-Locker vs ZemanaAL v1.9.3.602:
[Aby zobaczyć linki, zarejestruj się tutaj]
(sys 64bit)CTB Locker vs HitmanPro Alert v3 RC build 143:
[Aby zobaczyć linki, zarejestruj się tutaj]
CTB-Locker vs SpyShelter FW v9.6.3:
[Aby zobaczyć linki, zarejestruj się tutaj]
(domyślne ustawienia)CTB-Locker vs SpyShelter FW v9.6.3:
[Aby zobaczyć linki, zarejestruj się tutaj]
("podkręcone" ustawienia)[dodano 2015.03.06]
CTB-Locker vs Online Armor v7.0.0.1866:
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: CTB-Locker vs antiEXE video - nikita - 10.02.2015
Zerknąłem na każde nagranie i co prawda nie zagłębiałem się w nie, ale z tego co zauważyłem, to HPA spisał się całkiem całkiem. Bardzo dobrze. Tymczasem szkoda, że SpyShelter nie podołał. Dzięki za filmiki!
Re: CTB-Locker vs antiEXE video - skeleton - 10.02.2015
Dzięki za testy.
A próbowałeś testować SpyShelter z aktywną opcją wczesnego startu? Być może po restarcie szkodnik uruchomił się jako pierwszy i dlatego nie został zablokowany.
Re: CTB-Locker vs antiEXE video - F4z - 10.02.2015
U mnie SpyShelter nie dopuszcza do zaszyfrowania, i z tego co widzę mam więcej komunikatów.
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: CTB-Locker vs antiEXE video - oldblues - 10.02.2015
Tak samo u mnie. Po zakończeniu procesu i restarcie nie szyfruje plików.
Re: CTB-Locker vs antiEXE video - Quassar - 11.02.2015
a shadow defender radzi sobie z nim ?
Re: CTB-Locker vs antiEXE video - ichito - 11.02.2015
Kurde...nie wiem, gdzie znaleźć punkt zaczepienie, żeby się przyczepić do testu...SS nie dał rady i chyba nie rozumiem tego. Nie wiem, jak z innymi kombinacjami w opcjach, ale na pewno automatyczne blokowanie podejrzanych zachowań było wyłączone...i to chyba tyle...może jeszcze gdyby zamiast "zakończ" wcisnąć "blokuj", choć w regułach było jak byk, że zablokowane wszystkie akcje...to dziwne. W pliku pomocy odnośnie "zakończ" jest może istotna informacja - podkreśliłem ją.
Cytat:Poza opcją Zezwól i Zablokuj istnieje jeszcze opcja Zakończ.To może być ewentualne wytłumaczenie zachowania SS.
Opcja Zakończ natychmiast blokuje daną akcje i zamyka proces który ją wywołał, jednocześnie tworząc regułę która zapobiegnie uruchomieniu tej aplikacji w przyszłości.
Uwaga: Akcja ta nie zakańcza procesów-dzieci danego procesu.
Re: CTB-Locker vs antiEXE video - Buli - 11.02.2015
No ale w ustawieniach w obu testach był checkbox przy "Zakończ procesy potomne". Więc musi zamykać "procesy dzieci". Z tego co zauważyłem w teście tommy''ego SS nie zareagował na główny plik (8002e....exe) tylko pokazał alert na procesie dziecku(yqprmcc.exe) i to już było po jabłkach. Natomiast u F4z''a widać alert głównego exe i wystarczyło dać zakończ i zostały zamknięte również procesy dzieci i co za tym idzie nie doszło do infekcji.
Dziwne to bardzo.
Re: CTB-Locker vs antiEXE video - oldblues - 12.02.2015
Ten bezinstalacyjny programik Bitdefendera też blokuje CTB-Lockera.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Gdy próbuje się uruchomić szkodnika, nie ma żadnych komunikatów. Nic się nie dzieje. Jego proces jest blokowany. Po restarcie także.
Re: CTB-Locker vs antiEXE video - wojek - 12.02.2015
Ciekawe jak sobie radzi OA z tym szkodnikiem.Blokuje raczej na pewno,
pytanie w której fazie i jakie daje komunikaty.
A program Bitdefendera chyba blokuje podobne lokalizacje jak CryptoPrevent...
Re: CTB-Locker vs antiEXE video - ichito - 13.02.2015
Czy ktoś mógłby przetestować na tej samej próbce starą wersję SpySheltera - 9.6.1? To wg mnie wersja przed ostatnimi zmianami w programie, które spowodowały pewnie większą wygodę, bo program sam podejmuje decyzje, ale równocześnie stał się mniej "wrażliwy i gadatliwy". Jak będzie potrzeba, to mogę udostępnić instalkę.
Re: CTB-Locker vs antiEXE video - Quassar - 13.02.2015
@Ichoto bede miał czas to sprawdzę na każdym sofcie przekroju HIPS jaki posiadam i dam ci obszerne info
Instalki możecie pobrać odemnie:
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: CTB-Locker vs antiEXE video - ichito - 13.02.2015
Nie ma jednak chyba sensu testować programów już nierozwijanych i czasem zapomnianych - pewnie dobrze byłoby sprawdzić OA, Privatefirewall, Outpost...to zapory, ale wszystkie z modułem proaktywnym, który jest ceniony za skuteczność.
Re: CTB-Locker vs antiEXE video - tachion - 13.02.2015
OA radzi sobie z tym zagrożeniem nie szyfruje plików.
Spyshelter 9.6.3 radzi sobie z tym przy funkcji zapamiętaj wybór > zastosuj wybór i zamknij proces,nie radzi sobie w ogóle przy zapamiętaj wybór > zastosuj wybór i zablokuj.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Comodo
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.
Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
Re: CTB-Locker vs antiEXE video - zbc - 13.02.2015
tachion napisał(a):ComodoComodo najlepiej poradzi sobie z tym, przy użyciu funkcji: "Blokuj, zamknij proces i cofnij zmiany".
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.
Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.
Re: CTB-Locker vs antiEXE video - oldblues - 13.02.2015
Quassar napisał(a):a shadow defender radzi sobie z nim ?
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: CTB-Locker vs antiEXE video - ichito - 14.02.2015
A teraz pytanie może retoryczne...czy Wasze testy były na kontach admina czy zwykłego użytkownika? Bo interesujące by było wiedzieć, czy konto z restrykcjami daje jakąś odporność na takie kryptolokery.
Re: CTB-Locker vs antiEXE video - M'cin - 14.02.2015
Szczerze wątpię, nie próbuje modyfikować plików systemu, tylko zdjęcia/dokumenty szyfruje, wręcz logicznym byłoby robić lockery w taki sposób, żeby nie tykały się rzeczy związanych z systemem w celu zmniejszenia możliwości wystąpienia jakiegoś alertu.
Re: CTB-Locker vs antiEXE video - ichito - 16.02.2015
M''cin napisał(a):Szczerze wątpię, nie próbuje modyfikować plików systemu, tylko zdjęcia/dokumenty szyfruje, wręcz logicznym byłoby robić lockery w taki sposób, żeby nie tykały się rzeczy związanych z systemem w celu zmniejszenia możliwości wystąpienia jakiegoś alertu.To prawda, że efektem są wybrane rodzaje plików, ale proces do uruchomienia potrzebuje określonych zasobów i powiązania z systemem...stąd moje pytanie o konto z ograniczeniami. Tym bardziej, że modyfikowane są również domyślnie systemowe lokalizacje jak np. wygaszacze czy tapety.
Re: CTB-Locker vs antiEXE video - Elektron - 18.02.2015
Przy zamykaniu procesu to Spyshelter również radzi sobie doskonale przy samym blokowaniu (sam HIPS na paranoid) CTB przechodzi Comodo z latwoscia i szyfruje pliki kilkanascie alertow i okolo 7-8 min czekania, pisalem o tym gdzie indziej
zbc napisał(a):tachion napisał(a):ComodoComodo najlepiej poradzi sobie z tym, przy użyciu funkcji: "Blokuj, zamknij proces i cofnij zmiany".
Radzi sobie przy funkcji zapamiętaj wybór i zamknij proces
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
Przy próbie tylko blokuj widać jak CTB próbuje kodować ale mu się nie udaje
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
[[Aby zobaczyć linki, zarejestruj się tutaj]
]
jeden obrazek zdołał zakodować przy może nie wiem 30 komunikacie.
Dlatego nie wiem jaki ma sens samo blokowanie skoro komunikaty są jednoznaczne,proces złowrogi trza zamknąć.