火绒安全软件

标题: 新的勒索病毒Petya没相关防御信息吗? [打印本页]
作者: youxiaoda    时间: 2017-6-28 09:50
标题: 新的勒索病毒Petya没相关防御信息吗?
昨天这个病毒在欧洲有蹂躏各大机构了呢,中了后不交赎款还进不了系统呢,还没有防御方案么?
作者: 梦灬忆    时间: 2017-6-28 09:52
同问,帮你顶一下
作者: Rhine丶岑    时间: 2017-6-28 10:14
感谢,我们会持续跟进这类病毒的发展。

建议:
1.开启火绒自动更新
2.内网用户(下载火绒最新版本,覆盖安装即可)

针对最新的Petya勒索病毒,提醒下:
1.我们今晨已经升级对他们的查杀、防御。
2.我们会持续关注病毒样本的最新变化,有新的样本出现,火绒会随时升级。
3.内网用户不能升级的请到火绒官网下载最新版本覆盖安装即可。
作者: CANDY77    时间: 2017-6-28 10:15
您好 火绒已紧急升级处理了该病毒 升级火绒到最新版本即可查杀和防御 感谢您的反馈
作者: huluntw    时间: 2017-6-28 10:39
现在卡饭 已经有人用火绒测试 然后可抓到....这个是最廉价的宣传方式
火绒抓的到 一堆人会帮忙测试
幸好
昨天不是周六日.................
作者: Nobuchika    时间: 2017-6-28 11:10
CANDY77 发表于 2017-6-28 10:15
您好 火绒已紧急升级处理了该病毒 升级火绒到最新版本即可查杀和防御 感谢您的反馈  ...

請問官方,這類惡意程式如果在"系統加固"那邊勾選"寫磁盤扇區",能有效預防嗎?
謝謝!
作者: w-tekeze    时间: 2017-6-28 14:21
昨天我也看到这个新闻了,而火绒也提供更新了,现在看到火绒已能查杀,备感欣慰 !
作者: w-tekeze    时间: 2017-6-28 14:28
huluntw 发表于 2017-6-28 10:39
现在卡饭 已经有人用火绒测试 然后可抓到....这个是最廉价的宣传方式
火绒抓的到 一堆人会帮忙测试
幸好

哥们说的没错,是帮火绒在打免费广告,但也正象你说的,如果碰上周六日,可能就变成摔跟头了。。。不过我相信,遇上这种烈性病毒,即使周六日,火绒也会提供更新的。。。
作者: w-tekeze    时间: 2017-6-28 14:40
Nobuchika 发表于 2017-6-28 11:10
請問官方,這類惡意程式如果在"系統加固"那邊勾選"寫磁盤扇區",能有效預防嗎?
謝謝! ...

Petya会篡改磁盘前63个扇区,那火绒提供的“写磁盘保留扇区”选项,应该是能进行防御的,除非这个Petya的操作更加底层。。。但我也一样,还是希望看到官方的明确回复。
作者: w-tekeze    时间: 2017-6-28 15:10
从资料介绍来看,这个新的Petya勒索病毒,是上个月肆虐的“想哭”勒索和“暗云”病毒的结合体,破坏性极强。。。个人提供点防范措施供大家参考,不对之处请指出。。。1.  勾选火绒系统加固里的“写磁盘保留扇区”选项,这个对电脑的日常使用不会产生任何影响 。  2.  如果不是局域网用户,那就早点关闭你电脑的135、139、445和3389端口吧,这些Windows的暗黑通道干嘛要敞开呢? 在火绒的IP协议控制里是很容易实现的。 3.  升级杀毒软件、做好备份工作、养成良好上网习惯等等就不多说了。  PS  这次Petya勒索的重要传播途径之一就是通过邮件进行的,所以收到的不明邮件 (特别是附件) 不要随便去打开。
作者: 二胖    时间: 2017-6-28 15:38
CANDY77 发表于 2017-6-28 10:15
您好 火绒已紧急升级处理了该病毒 升级火绒到最新版本即可查杀和防御 感谢您的反馈  ...

写磁盘保留扇区能拦截这个病毒吗?
作者: huluntw    时间: 2017-6-28 15:42
w-tekeze 发表于 2017-6-28 14:28
哥们说的没错,是帮火绒在打免费广告,但也正象你说的,如果碰上周六日,可能就变成摔跟头了。。。不过我 ...

所以現在可以大聲說:小毒放假,大毒加班嗎?
現在卡飯有人專測銀山
而且病毒樣本很多都是掃描MISS 你覺得這樣有誰還敢用銀山
卡飯前天有個貼,最多人用的是卡巴
卡巴最多人用 但要錢,為何還最多人用呢
很簡單 就是每次的測試 大爆發,卡飯都活下來...
火絨沒被列入 但我看了回文至少有十個人用,算不少了..
火絨在近期的測毒還可以 那邊都謠傳 火絨有人在卡飯盯著 所以入庫快
但是大多數人也知道 火絨要週一才會入庫....
目前有這樣特點的,就有火絨跟薇點,薇點是根本不一定一星期會入庫,所以火絨比薇點好點...
說真的,如果我是企業版用戶,或是一般用戶知道火絨跟病毒們達成協議,小毒週一處理就好...那
真的會怕怕的,還好那只是卡飯的謠言呢....所以我幫其他兩台電腦單奔火絨,因為兩台我都可以遙控所以不怕有啥新大毒,因為使用環境相當單純。
不過我自己用的,很抱歉,我用BDIS+火絨...因為我比另外兩台活躍複雜很多...
所以我不敢拼.....我是勒索病毒後跑去卡飯才知道火絨有這特性
所以一堆然喊啥新增加速球 軟件管家  漏洞修補....
卻不知道...
作者: 二胖    时间: 2017-6-28 16:57
a445441 发表于 2017-6-28 16:52
微点对付这种篡改磁盘这明显的动作根本不需要什么蹲点入库就可以拦截

呀,你也在这里啊
作者: 二胖    时间: 2017-6-28 17:28
a445441 发表于 2017-6-28 17:09
是的,有时过来看看

我刚进来不久·····
作者: Nobuchika    时间: 2017-6-28 17:47
Rhine丶岑 发表于 2017-6-28 10:14
感谢,我们会持续跟进这类病毒的发展。

建议:

分析師貌似太忙碌沒看到回文,只好問您了orz....
請問在系統加固部分,勾選"寫磁盤保留扇區"這個保護項目,可以攔截這次petya的修改嗎?

感激不盡!
作者: huluntw    时间: 2017-6-28 18:12
a445441 发表于 2017-6-28 16:52
微点对付这种篡改磁盘这明显的动作根本不需要什么蹲点入库就可以拦截

是没错啦 但是对于其他的病毒就....所以薇点被称为半残.
....
作者: Hay    时间: 2017-6-28 18:14
Nobuchika 发表于 2017-6-28 17:47
分析師貌似太忙碌沒看到回文,只好問您了orz....
請問在系統加固部分,勾選"寫磁盤保留扇區"這個保護項目 ...

“写磁盘保留扇区”只是这次“Petya”病毒的是此次攻击链中的一部分。火绒今天早上紧急升级后,可以针对整个的攻击过程进行防御。用户只需要升级到最新版本就可以拦截该病毒,无需作更多设置。
作者: Nobuchika    时间: 2017-6-28 18:31
Hay 发表于 2017-6-28 18:14
“写磁盘保留扇区”只是这次“Petya”病毒的是此次攻击链中的一部分。火绒今天早上紧急升级后,可以针对 ...

了解,謝謝回應 :)
辛苦了!!!!!!
作者: w-tekeze    时间: 2017-6-28 19:10
官方已做了答复,大家基本可以放心了。。。我接着11楼补充点我的看法吧, 1.  勾选 “写磁盘保留扇区”  仅仅只能保护你个人的电脑不受到伤害,但并没有杀灭病毒实体,也就是说,通过网络或移动存储介质,仍然会威胁到其它电脑,所以选择优秀的杀软并及时更新才可能清除病毒程序,彻底消除隐患。  2.  “Petya”比“WannaCry”破坏性更强,当然动作更大更激烈,也更容易被现代的建立在行为分析基础上的主防型杀软给拦截,所以病毒破坏性大并不等同于更难被发现拦截,这点也算是我们可以感到欣慰的地方。
作者: 啦啦啦    时间: 2017-6-28 19:33
Hay 发表于 2017-6-28 18:14
“写磁盘保留扇区”只是这次“Petya”病毒的是此次攻击链中的一部分。火绒今天早上紧急升级后,可以针对 ...

绒儿如何看待卡巴的观点:
本次的勒索软件不是petya的变种,而是新的勒索软件、
作者: lei_feng    时间: 2017-6-28 19:37
本帖最后由 lei_feng 于 2017-6-28 19:42 编辑
w-tekeze 发表于 2017-6-28 15:10
从资料介绍来看,这个新的Petya勒索病毒,是上个月肆虐的“想哭”勒索和“暗云”病毒的结合体,破坏性极强 ...

Petya这个勒索病毒利用了139跟445端口,你只要勾选火绒的写磁盘保留扇区选项就可以防住Petya病毒,因为这个病毒会先修改MBR,然后接管控制权,在开机的时候伪装磁盘修复程序,实际上是在加密
创建进程这块要留意,会创建两个进程,火绒对这块应该有规则可拦
作者: huluntw    时间: 2017-6-28 19:49
w-tekeze 发表于 2017-6-28 19:10
官方已做了答复,大家基本可以放心了。。。我接着11楼补充点我的看法吧, 1.  勾选 “写磁盘保留扇区”  仅 ...

你是認真的嗎.....
现在火绒可以周六日之外很迅速的反应,我觉得不错,至少比薇点不错
但是要知道...5月12日的那波 根据断网测试,能防未来毒的
就区区几个.....
火绒没有云 所以断网与否 都是一样的
所以我可以轻轻的说一下
目前我看来 一流的防毒 可防未来毒
二流的 可以在事后 赶紧补救
三流的 隔很多天才补救
在卡饭断网测试了解
卡巴 BD 大蜘蛛 FS 都可以档下,及时断网。云无法用....

而在挡不住但却即时补救的 那就很多很多 基本上 只要是防毒 应该都属于这块

三流的就 也不入库 病毒测试好几天都还没入库
例如ESET
ESET可在墙内可是很多人用的防毒
结果根据卡饭的听闻 很多人都改换别的了

当然卡饭也有许多反对 这贴断网测试的准确度
也有人出来平反ESET....
但是ESET在卡饭的确挺受伤的

口碑是慢慢的建立的 但是坏印象可是一下子就可以长久的维持的
除非下次大爆发或者测试ESET能每次都获得好评
要不然 5月12日ESET没防住的坏印象 应该很多人会记住
就像卡巴 到现在还一堆人说 卡巴不是会卡吗 当然也有人会出来说 卡巴早就不卡了....

所以我觉得火绒要管家化,那管家就三家在搞了....火绒拼的赢吗?如果那条路难走,就朝卡巴前进吧∧∧
所以我说了 火绒的迅速反应 我觉得很不错∧∧
但是没有那样好 因为还只是在二流....
只要打赢几次
未来毒....
那免费的宣传比啥都还要大∧∧
要不然打广告 打公关 搞不好连瑞星都打不过呢∧∧
所以最简单的 先有人盯著各大论坛 样本都早点解析入库 然后不要每次看火绒MISS时 一看时间 嗯 周六日
难怪了 没事周一应该会入库吧....唉

对了我认为趋势与SEP14在五月十二的断网测试 没安全全过 但是我个人认为 这两个在那测试太吃亏了∧∧
而且SEP啥都杀 真的很适合企业用呢

作者: w-tekeze    时间: 2017-6-28 19:52
lei_feng 发表于 2017-6-28 19:37
Petya这个勒索病毒利用了139跟445端口,你只要勾选火绒的写磁盘保留扇区选项就可以防住Petya病毒,因为这 ...

哈,哥们也注意到这个贴子了,好几天没见了。。。你说的没错哦,借回复你的机会我再说一句,将系统的漏洞补丁打全了。
作者: huluntw    时间: 2017-6-28 20:05
基本上只要你沒第一時間中毒
某些防毒會在半天內把病毒入庫,基本上入庫就代表可防禦了,不過不一定可以防禦變種,
但是一般都可能連變種都可防禦
所以基本上 如果經過半天 一天 那牆內的瑞星 數字 企鵝 銀山 其實也是都可以抵禦了
而火絨理論上也會差不多時間入庫︿︿
所以第一時間你沒中毒 那就應該不會中毒
作者: w-tekeze    时间: 2017-6-28 20:17
huluntw 发表于 2017-6-28 19:49
你是認真的嗎.....
现在火绒可以周六日之外很迅速的反应,我觉得不错,至少比薇点不错
但是要知道...5月1 ...

哥们,看你有点冲我发火呢,我上面好象没有讲错啊。。。你说的上个月那个“想哭”勒索,侵入途径利用了“0day”漏洞,而进来后并没有什么大动作啊,它下载病毒文件,然后对用户的文档进行加密,接着又删除原文件,并没有磁盘底层的操作啊,仅依靠通常的主防技术当然就无法拦截了。当然,优秀的主防象你说的那几款就拦住了,这只能说明火绒还有欠缺的地方啊。。。
作者: w-tekeze    时间: 2017-6-28 20:51
本帖最后由 w-tekeze 于 2017-6-28 21:01 编辑
啦啦啦 发表于 2017-6-28 19:33
绒儿如何看待卡巴的观点:
本次的勒索软件不是petya的变种,而是新的勒索软件、 ...

卡巴将其称为“ExPetr”, 但通过修复相同的MS17-010漏洞,还是可以保证安全的。PS  当然指的只是网络入侵,并不包括本地。
作者: w-tekeze    时间: 2017-6-29 12:15
在火绒安全播报版块,官方才放了个贴子,感兴趣的可以去看下。。。
作者: Hay    时间: 2017-7-3 10:23
啦啦啦 发表于 2017-6-28 19:33
绒儿如何看待卡巴的观点:
本次的勒索软件不是petya的变种,而是新的勒索软件、 ...

不同安全软件针对病毒家族的命名不一样很正常。
作者: huluntw    时间: 2017-7-3 22:38
w-tekeze 发表于 2017-6-28 14:21
昨天我也看到这个新闻了,而火绒也提供更新了,现在看到火绒已能查杀,备感欣慰 ! ...

很抱歉 卡飯那邊今天有人測試樣本
火絨並沒有完美攔截
再那病毒發生後的幾天
卡飯樣本火絨沒有完美攔截
或許那個環節出問題 但是這名聲....
作者: w-tekeze    时间: 2017-7-4 00:03
huluntw 发表于 2017-7-3 22:38
很抱歉 卡飯那邊今天有人測試樣本
火絨並沒有完美攔截
再那病毒發生後的幾天

是的,没有完美拦截,官人在20楼所说的不需要作过多设置,当时我就很怀疑,还是老老实实勾选“磁盘保留扇区”的防护吧。。。

到这里看看  https://bbs.huorong.cn/forum.php?mod=viewthread&tid=23033&page=1#pid142350
作者: w-tekeze    时间: 2017-7-4 11:50
huluntw 发表于 2017-7-3 22:38
很抱歉 卡飯那邊今天有人測試樣本
火絨並沒有完美攔截
再那病毒發生後的幾天

我刚发了个新贴,到这来看看  https://bbs.huorong.cn/forum.php?mod=viewthread&tid=23041&page=1&extra=#pid142379



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4