※ 引述《kclonline (JLg艹)》之銘言：
: 嗨:
: 之前有一串版友討論勒索病毒提到cruelsister1有影片教學。
: 最近發現該作者有針對Comodo10推出新的影片，所以把筆記貼上來，方便大家。
: 原影片：http://youtu.be/FoIu3Z2ImO8
cruelsister1剛剛上傳了一個新影片
https://www.youtube.com/watch?v=KSbRWmpSUwo
說明如果靠傳統防毒很多時候不能防禦第一時間的病毒攻擊，
這時候CF10/CIS10的自動沙盤的價值就顯現出來，
所以cruelsister1一直非常推薦CF/CIS。
注意CCAV的沙盤和CF10/CIS10不一樣，CCAV的沙盤沒有虛擬化功能，
同時也比較弱，例如這個影片的範例
https://www.youtube.com/watch?v=anh2O65R6mQ
直接寫MBR的Petya可以過CCAV的沙盤，
而Comodo Firewall的沙盤卻可以擋住
https://www.youtube.com/watch?v=kRqQFZrnZ3c
雖然後來Comodo有修正CCAV的這個問題，推出了新版
https://www.youtube.com/watch?v=WMADsyZ1gJg
不過目前CF10/CIS10的沙盤都還有bug沒有修復，
是可以被惡意程式穿透的，官方說差不多二月中才會有修正版。

推 有時候會好奇 cruelsister1 的勒索軟體哪來的? 而且她也會改寫勒索軟體

那個穿過的樣本，一堆防毒主房也跪另外還在用comodo 8.4可以不用顧慮，因為也被穿直接升級10版，comodo應該不會去維護8版comodo收到樣本後，也先把特徵碼入庫，接著等月中新版

10版有比8版穩嗎 8版的沙盒好像關不掉 只想要用防火牆

推，不過我後來還是比較習慣HIPSxD

只用防火牆也可以升10，comcod白名單判別有點調整8版的沙盒是關的掉，若你不行可能跟你用的其他軟體或防毒衝到也可能

後來開windows看發現auto-sandbox裝完就預設沒開啟了hips和viruscope都關了 不知道為什麼conemu+git就是會lag在5版上用完全正常 防毒一樣是同版本的小紅傘

小紅傘現在跟comodo應該有點衝突，不像以前建議不是CIS就是WD+comodo牆這樣問題最少

目前這樣是堪用啦 雖然最順還是5版 可是5版和很多64bit程式相衝突(像是fx) 而且老實說很不喜歡包一堆用不到的

我是懶得搭配不是微軟內建防毒就是CIS全套，反正自動沙盒查殺率就不太重要，因為就算90幾%，實際使用你也碰不上

10版大概等2月中的修正版出來再試試 不然又要測2次很累

小紅傘算是用很久了比較信任 雖然它也感覺在走下坡了

現在又搞全家桶根本就拖速

免費版愈來愈肥真的不太想繼續用 付費的不知道會不會好點因為我沙盒和HIPS都會關 所以我是會另外裝防毒就只想要那個牆 偏偏它又包了一堆有的沒的

可以請教大大bypass了comodo的那個樣本嗎？

那個樣本不是病毒，有人寫來測試各家防毒主防順道測comodo然後發現自動沙盒 bug，後來就有人提交給官方有開HIPS可以攔下,所以建議目前先開而且目前應該很多防毒也都入庫，沒什麼好測

那這樣更讓人好奇是哪位高人寫的OA test

比起那樣本，還是擔心綁架勒索吧xd，最近對岸狂吹BD ATC結果昨天看新變種Cerber就讓BD跪xd

測主防的樣本是利用一個流傳很久的WINAPI缺陷把C盤"刪除" 造成所有程式都打不開只要禁止沙盤裡的程式調用這個函數來映射已經存在的磁碟機代號就不會中招了SBIE因為預設就禁止了這項操作所以沒事但是WINAPI太多太複雜 總會有漏網之魚的xDSBIE以前同樣有破功過

畢竟是變種，跪了也是合理？是說預設值得EMET對勒索的抗性究竟到什麼程度啊？

其實BD主防算強，這幾天應該是被Cerber作者找到方法掠過特徵碼沒入庫，雲端沒拉嘿，ATC被過加密