几乎全军覆没？？随便做个小把戏勒索木马看看杀毒软件们如何反应

PYAS杀毒软件官方:
这操作其实不太算勒索病毒，压缩加密rar及删除文件属于正常操作，真正的勒索是直接重写该文件，或者创建该文件的加密副本，再删除原始文件

【回复】如果在压缩加密rar后能调用其他软件来擦除原文件，就更有威胁性了。就现在这样子，只要中招后用户不要作死写入数据而且是机械硬盘，基本上都能恢复回来。我本来还想让它在删除后在后台调用cipher命令擦除全盘闲置空间，但是想想算了，继续做下去似乎对我选杀毒软件好像也没什么帮助
【回复】可以 多多宣传 特别是检测 QQ乱读取用户数据的行为
小小苏提不起劲:
我猜测这个操作可能属于是“过于正常”，需要用户自己防范的行为了 要是这种不允许的话，可能很多软件都不能正常工作？

【回复】对的 这种行为确实很正常，就像备份。你把日志备份完了把日志清掉很正常啊。
where-where:
这种属于win32正常权限，要防只能上AppContainer，也就是UWP，需要授予文件访问权限才可以操作文件

【回复】卡巴可以防，自己加个规则随便防
baby小尧:
eset过扫描翻车意料之中，卡巴和bd翻车我是没想到的

继承国学经典:
up你好，360可以开启核晶防护引擎试试吗

中国纭之家:
这种的几乎所有杀毒软件都能绕过了，只能用带HIPS用户添加文件规则，只要非explorer方调用winrar等软件进行加密压缩，并且删除原文件都拦截。。。才能有效拦截，这个主要难点在于，这是用户操作的还是由程序发起的操作，所以只能从源头来判断，比如用户启动一个正常的程序，然后这个正常的程序调用压缩软件进行加密压缩并且删除源文件，这种的估计很难分辨出来了，得专业的hips像以前的Malware Defender写好规则后，才有这种能力了。。

小蕊解说:
卡巴反勒索实际上挺拉的，我自己做了个Python小程序，RSA+AES加密，看啊不会报毒。 具体就是耍了个把戏，大多数勒索是先在源文件的基础上加密，再删除源文件。我是先把源文件写入内存，删除源文件，加密内存，输出文件，卡巴完全没有意识到。

QQEat:
沙箱（sandboxie）才是世界第一，不需要运行一个完整的虚拟机环境（也因此注定不需要占用很高的内存）沙箱启动的程序会hook全部api，写入/修改操作全部保存到沙箱指定目录，读取则是如果沙箱有文件优先读取沙箱（否则读取本机），如此处理方式也注定了沙箱执行软件与本机执行上的效率几乎不会有任何损失

XiaoweiSecurity:
杀软分析后这个其实没有太大恶意性，删文件和打包到rar这个操作也很像是用户正常操作，所以杀软在之前不拦截[doge]

绫夏-冰樱:
能顺带带红伞和趋势玩玩吗？[脱单doge]

di辛:
卡巴应该有rar信任吧。自己写个加密试试？

机女太:
杀毒模块有个勒索急求你试试看[星星眼]