勒索病毒诱捕功能简介

winchannel

有一个问题：如果用户的系统盘不是C盘，或者C盘之前还有A盘B盘这种情况呢？岂不是数据全被加密了还没反应过来呢？

winchannel

Nobuchika 发表于 2018-10-15 14:29
创建诱饵的盘符是系统盘
在对抗勒索上，检测引擎和主防为主力，诱饵是前几项未检出的最后拦截手 ...

我还不太熟悉HIPS……有点好奇，锁定要保护的文件夹是怎么个锁定法？只允许白名单进程么？那如果那个程序的文件直接被篡改了，或者进程在运行中被劫持注入代码了呢？
Office加载的非微软dll也可能是有用的，比如各种插件（像EndNote就有一个CWYW插件）。