深信服社区»版块 安全类 统一端点安全管理系统aES EDR检测到勒索病毒

EDR检测到勒索病毒

查看数: 3968 | 评论数: 7 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2021-10-20 09:13

正文摘要:

在定时的全盘杀毒中,杀出有勒索病毒,文件是2019年的。因为是内网环境。通过别的杀毒软件,没有提示。EDR是3.5.10版本,病毒库是9月24日。 通过网络的一些安全厂家检测,只有virustotal上的有报毒。可是报毒名相似 ...

回复

新手280909 发表于 2024-6-7 23:45
内网环境与杀毒软件的反应:
由于是内网环境,其他杀毒软件并未提示存在病毒,这可能与杀毒软件的病毒库更新频率、检测算法的差异或是内网的安全策略有关。
病毒库的更新情况:
您的EDR病毒库最后更新时间是9月24日,这表明EDR的病毒检测能力是基于较新的病毒库进行的。
其他安全厂家的检测结果:
您提到通过网络上的一些安全厂家检测,只有virustotal上有报毒。值得注意的是,virustotal是一个集合了多种杀毒软件引擎的在线扫描工具,它提供的检测结果是基于多个引擎的综合判断。
报毒的引擎并非深信服的,这可能是因为不同的杀毒软件引擎采用不同的检测算法和病毒库,因此对同一文件的检测结果可能存在差异。
文件是否真的有毒:
根据EDR和virustotal的检测结果,该文件被标记为勒索病毒。虽然其他杀毒软件未报毒,但这并不意味着文件一定安全。由于勒索病毒的复杂性和不断更新变种的特性,一些杀毒软件可能无法及时检测到所有新出现的病毒。
因此,在有多方证据表明该文件可能包含勒索病毒的情况下,应谨慎对待,并考虑采取进一步的安全措施。
后续操作建议:
首先,可以尝试将该文件上传至更多在线病毒扫描平台进行复检,以获取更全面的检测结果。
其次,建议联系深信服的技术支持团队,提供详细的文件信息和检测结果,以获取他们的专业意见和解决方案。
最后,无论文件是否真的包含病毒,都应加强内网环境的安全防护,定期更新病毒库,并确保所有终端都安装了最新的安全补丁和杀毒软件。
虽然并非所有杀毒软件都检测到该文件包含勒索病毒,但在有多方证据(如EDR和virustotal的检测结果)表明其可能包含病毒的情况下,应谨慎对待并采取进一步的安全措施。
如果大家有紧急情况19337780186
新手031815 发表于 2022-8-11 17:38
提示: 作者被禁止或删除 内容自动屏蔽
新手257407 发表于 2021-11-10 10:42
本帖最后由 不怕V拽,就怕无赖 于 2021-11-10 11:01 编辑

不要一惊一乍的,深信服误报的太多,和360太像。

什么是MDMP文件类型?
Minidump "的缩写,.mdmp文件扩展名表示Microsoft Windows Memory Minidump (.mdmp, .dmp)文件类型/格式。内存迷你转储保存了微软Windows中属于单个进程的用户空间内存区域的内容。当程序因严重错误(崩溃)而异常终止时,就会创建minidump。

.mdmp(或.dmp)文件是一个Windows内存迷你转储。这种迷你转储用于调试目的,因为它们提供了崩溃发生前的内存快照,并提供了可能原因的线索。自动内存转储是Windows错误报告(WER)技术的一部分。默认情况下,Windows 7/8会在"%UserProfile%/AppData/Local/Temp "文件夹中创建minidump文件(例如,"WER753B.tmp.mdmp")。另外,minidump也可以保存在应用程序的工作目录中。
good luck!
航嘉电脑门诊 发表于 2021-11-7 14:26
这种情况,宁可信其有,不可信其无。建议采用手动的方式,或者把那个文件放到沙箱里跑一下,看看到底有没有问题,就一目了然了。。。
萌新007 发表于 2021-10-22 16:52
看下是个啥文件,不重要的话就删了
新手396775 发表于 2021-10-21 10:15
同样,3.5.10版本已经隔离掉很多之前没问题的文件了,这个版本很不稳定
甲本丸 发表于 2021-10-20 10:46
你可以吧这个文件,上传到微步在线