魏亚逆 发表于 2019-11-30 23:06:46

我这好像不止两个随机文件夹。。。

neal 发表于 2020-3-10 12:29:28

win10 下的winword就这样被隔离了,火绒还原失败,但是win10的默认安装路径又不让访问,不想改权限,怎么恢复?

重庆客运段 发表于 2020-3-10 14:17:22

neal 发表于 2020-3-10 12:29
win10 下的winword就这样被隔离了,火绒还原失败,但是win10的默认安装路径又不让访问,不想改权限,怎么恢 ...

@火绒运营专员

火绒运营专员 发表于 2020-3-10 17:43:40

neal 发表于 2020-3-10 12:29
win10 下的winword就这样被隔离了,火绒还原失败,但是win10的默认安装路径又不让访问,不想改权限,怎么恢 ...

麻烦你添加QQ3158498132. 我们看下,感谢您的反馈~

顾梓豪 发表于 2020-3-14 11:32:21

魏亚逆 发表于 2019-11-30 23:06
我这好像不止两个随机文件夹。。。

应该是你的电脑有十几个病毒吧{:6_192:}

汪子凯本人 发表于 2020-3-26 11:45:23

魏亚逆 发表于 2019-11-30 23:06
我这好像不止两个随机文件夹。。。

关键人家是隐藏属性的

汪子凯本人 发表于 2020-3-26 11:48:28

所以说这个是什么工作原理呢?

左右为男 发表于 2020-3-26 12:11:39

冯子硕 发表于 2018-7-29 00:23
这才是“诱捕功能”的真正体现啊!

没看懂,大佬能麻烦解释一下嘛

qwe836239264 发表于 2020-3-29 20:09:34

左右为男 发表于 2020-3-26 12:11
没看懂,大佬能麻烦解释一下嘛

思路:勒索病毒会加密文件,加密顺序是按文件(夹)名称来算的,所以只要创建一个文件夹,让文件夹保持在第一名并且监控文件夹里的文件,只要动了里面的文件就会触发规则。不过现在火绒只在C盘的根目录创建了诱捕文件夹,现在的勒索基本是加密桌面、文档、下载、用户和其他盘的文件,所以现在官方的勒索诱捕用处不大,如果想增强对勒索病毒的防御可以试试我发的规则,在规则区里

qwe836239264 发表于 2020-3-29 20:17:45

@HuoRong丶小宇 官员,现在官方的勒索诱捕规则可以完善一下吗?
一、有些病毒会跳过隐藏文件夹。
二、有些会跳过空格和符号开头,建议诱捕文件夹以0开头。
三、加密位置会选在桌面、文档、图片、下载、视频、音乐、其他盘根目录,从系统盘根目录开始加密的不多见了。
四、要是觉得第三点麻烦的话可以让用户自定义诱捕文件夹的目录

a223 发表于 2020-3-29 20:19:55

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇 官员,现在官方的勒索诱捕规则可以完善一下吗?
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

@火绒运营专员 才对

火绒运营专员 发表于 2020-3-30 13:27:51

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇 官员,现在官方的勒索诱捕规则可以完善一下吗?
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

您好,帮您转交给相关人员,感谢您的反馈~

LEOX 发表于 2020-3-30 22:13:26

汪子凯本人 发表于 2020-3-26 11:48
所以说这个是什么工作原理呢?

当有程序试图改动这些文件时,强行终止该程序并移动至隔离区

HuoRong、Huo 发表于 2020-4-2 10:00:15

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇 官员,现在官方的勒索诱捕规则可以完善一下吗?
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

您好,关于您建议中提到的勒索病毒会“跳过隐藏文件夹”“跳过空格和符号开头”“加密位置会选在桌面、文档、图片、下载、视频、音乐”等情况,您是否曾遭遇过?能否详细说说呢?另外,有此特征的勒索病毒名称可否提供下?

火绒运营专员 发表于 2020-4-7 16:57:54

qwe836239264 发表于 2020-3-29 20:17
@HuoRong丶小宇 官员,现在官方的勒索诱捕规则可以完善一下吗?
一、有些病毒会跳过隐藏文件夹。
二、有些 ...

您好,一直没有收到您的回复,您还在继续跟进吗?
页: 1 2 [3] 4 5 6 7
查看完整版本: 勒索病毒诱捕功能简介