Hi！各位!CryptoWall 4.0来啦!多说无益,秀出你的肌肉!(双击有~)

230f4

第一版CryptoWall在2014年4月诞生,它的第一次重大升级是CryptoWall 2.0,在2014年10月发布。CryptoWall 3.0在2015年1月发布并在全球范围内引起恐慌。现在,2015年11月,CryptoWall 4.0也亮相了。

密码：infected

3.0在此：http://bbs.kafan.cn/thread-1860669-1-1.html

相关文章：http://www.hotforsecurity.com/bl ... good-guy-12985.html

pal家族

卡巴斯基安全软件 实机双击，关闭文件防病毒与应用程序控制。

[mw_shl_code=css,true]05.11.2015 21.37.56;检测到的对象（处理内存）已删除。;c:\users\yingzhi\pictures\新建文件夹\新建文件夹\cryptowall 4.0.exe;c:\users\yingzhi\pictures\新建文件夹\新建文件夹\cryptowall 4.0.exe;PDM:Trojan.Win32.Bazon.a;其它恶意软件;11/05/2015 21:37:56
05.11.2015 21.33.51;检测到的对象（文件）不再可用。;C:\Users\yingzhi\Pictures\新建文件夹\新建文件夹\CryptoWall 4.0.exe;C:\Users\yingzhi\Pictures\新建文件夹\新建文件夹\CryptoWall 4.0.exe;UDS:DangerousPattern.Multi.Generic;未知威胁;11/05/2015 21:33:51
[/mw_shl_code]

出现了稀有的

UDS:DangerousPattern.Multi.Generic

貌似是主防与云特征库的联动哦。。。。。。。YYing

aboringman

对不起来迟了


卡巴只用1分钟就干掉它了（但是还是要重启）
@230f4

1094947421

火绒未入库， 虚拟机双击，主防拦截到。

crl2376

双基拦截

毛豆新人

病毒库是昨晚的（下图可以看到18小时前更新），关闭了云查询，接下来看主防的（开启hips安全模式是以防万一，不过因为全程沙盘运行，并没有给hips露脸的机会）

双击后日志：
2015-11-06 13:35:50         C:\Windows\SysWOW64\vssadmin.exe           虚拟化运行          
2015-11-06 13:35:46         C:\Windows\SysWOW64\svchost.exe             虚拟化运行          
2015-11-06 13:35:42         C:\Windows\SysWOW64\explorer.exe           虚拟化运行          
2015-11-06 13:35:39         C:\Users\*\Desktop\CryptoWall 4.0.exe         虚拟化运行

Killswitch里，双击后进程消失，转而以svchost.exe继续任务，动作：  请求联网
结束沙盘，一切文件正常，防御成功

截图部分：
运行后，主防响应（这真的是我第一次见viruscope发威，好吧 下次少黑你一点）

viruscope报的是“一般感染程序”（generic infector）

根据毛豆在线沙盘：http://camas.comodo.com/cgi-bin/ ... ea72393cbc6faffe5a2
样本会在Software\Microsoft\Windows\CurrentVersion\Run\下创建注册表键值\4eac18fe，实际干干净净


@电脑发烧友 ， @230f4

蓝天二号

至始至终 反复访问这个两个网站，，，，被GD拦截，，，无其他行为。。。

lixihong10

战斗力不足五的渣渣

googlex1

这样什么情况   

EnZhSTReLniKoVa

费尔云报：
缓存文件名称: C:\Program Files (x86)\Filseclab\Twister\upload\00000030.FUC

缓存文件大小: 235026
缓存文件状态: 已删除

MD5: 5384f752e3a2b59fad9d0f143ce0215a
级别评分: 0.0
动作: 云鉴定

状态: 它是一个“病毒”


费尔双击报：


D:\病毒样本\新建文件夹\CryptoWall 4.0.exe        FDDS.Suspect.Dropped        可疑程序        312 KB        2015年11月6日 15:38:26        DESKTOP-N0E4O5D        SYSTEM

ericdj

EIS
右键入沙



放行后



最后看了下日志。行为报 Behavior. CodeInjector



@230f4 @wjy19800315

nick20010117

FS@230f4
AVG IDP
话说AVG的UI为何突然变卡了好多

230f4

Bitdefender Internet Security 2016  bong！ 毫无压力

完全正常，无残留

nick20010117

@230f4 @驭龙

windows7爱好者

SSF双击

wangfeng66

解压缩DRWEB KILL  关闭监控 双击 DPH KILL

liushuikong

1094947421 发表于 2015-11-5 23:35
火绒未入库， 虚拟机双击，主防拦截到。

虚拟机测试，火绒双击是挂了的。 虽然有这个弹窗，且选择处理删除了原始文件，但并未真正拦截到。

liushuikong

230f4 发表于 2015-11-8 23:02
额，看来只有上次的测试者和你说出了真相。。

能否简单描述一下双击之后发生了什么？

额，我并不是大神，并没有行为记录分析，双击后直观看到的就是：火绒弹出25楼的弹窗，（我）选择立即处理，然后双击的病毒文件被删除，但鼠标指针旁明显出现了转动的圈圈（稍有点意识的人就应该从这一现象意识到并未真正拦截成功，因为转圈圈说明病毒在依然占用运行），接着过了半分钟左右系统里面的文件被改，桌面出现告知我被病毒感染的图片和txt文件，并自动弹窗打开。

1670338677

上图

结合楼上面说此病毒不断访问网页，我并没有看到什么行为，截了一些图，凑合看吧

1670338677

啊啊啊啊啊啊啊啊啊啊啊！！咋回事？@230f4

1670338677

230f4 发表于 2015-11-10 19:55
！！！！千万别是中招了

前面 googlex1 用 麦咖啡 双击也出现了这些东西，但他的重要文件貌 ...

我这里用everything扫描了全盘的HELP_YOUR_FILES相关的文件 ，有很多，我都删掉了，有的放在启动项里，我刚开机吓我一大跳，另外，我把生成的文件打包了，我有几个文件已经被加密了，不过不是重要文件

1670338677

这是我另外截的图

1670338677

我有些东西已经被加密了，截些图

aboringman

KIS：SW击杀，很愉快（详见25楼）

补充：

skyboybone

已入库

245867683

WD KILL


类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
file:C:\360SANDBOX\SHADOW\Users\super\AppData\Local\Temp\360zip$Temp\360$0\新建文件夹\CryptoWall 4.0.exe

联机获取此项的详细信息。

ELOHIM

送上一个文件：http://46.30.43.183/syria.exe（小心哦）

这个怎么玩啊？？

诸葛亮

红伞TR/FileCoder.319488 [trojan]'

230f4

ELOHIM 发表于 2015-11-5 21:00
送上一个文件：http://46.30.43.183/syria.exe（小心哦）

这个怎么玩啊？？

点击链接，下载文件到电脑中，爱怎么玩就怎么玩

ELOHIM

230f4 发表于 2015-11-5 21:01
点击链接，下载文件到电脑中，爱怎么玩就怎么玩

链接里面找不到执行程序。。。

天耀群星

NOD32 8 报：特洛伊木马。

MD日志：拦截木马创建系统进程svchost.exe。

230f4

ELOHIM 发表于 2015-11-5 21:03
链接里面找不到执行程序。。。

应该是失效了，发帖前还可以下载的。