发现新勒索软件Globe(2016.9.19)【病毒应急处理中心】

驭龙

来自AVG公司的国外研究人员发现一种新型的勒索软件Fantom，该勒索软件运行后，会弹出一个伪造的Windows更新界面，用户可以关闭这个界面，但受害者系统的文件仍然会被加密，被加密的文件扩展名被改为“.fantom”并修改系统的桌面背景图片，显示勒索信息，要求受害者与fantomd12@yandex.ru 或fantom12@techemail.com 联系支付赎金。尚未获得有关解密方法的资讯。
国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。
以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理

http://www.cverc.org.cn/head/les ... oruanjianFantom.htm

应该基本都能杀，可以测一下主防

样本

vm001

为 测试360能不能拦截费了点劲。。
样本的行为是母体运行后，释放WindowsUpdate.exe到%temp%目录下执行，伪装win更新界面，并且霸屏窗口置顶。。掩护母体来执行修改文档等一系列行为。。如果WindowsUpdate.exe被结束，母体则没有行为继续。。
主要是让母体释放一个360不杀的WindowsUpdate.exe有点费劲了，所以想了个别的招让样本跑完整个行为。。测试了下360主防，结果在修改文档这一步360没有拦截到----文档被篡改加密

Eset小粉絲

不雙擊的飯友可以看這視頻
https://www.youtube.com/watch?v=4MoMgxluEWs

希望可以被置頂

vm001

伪造win更新界面这个之前发过个木马就利用过来迷惑用户。。。
在样本的猥琐方面国外好像落后于国内

驭龙

vm001 发表于 2016-9-25 19:10
伪造win更新界面这个之前发过个木马就利用过来迷惑用户。。。
在样本的猥琐方面国外好像落后于国内

是啊，国内好多东西都很难对付，尤其是远控和白加黑，流氓就更不用说了

vm001

驭龙 发表于 2016-9-25 19:12
是啊，国内好多东西都很难对付，尤其是远控和白加黑，流氓就更不用说了

卡在这个界面了
整个真没国内的伪装的像

vm001

测试下数字

驭龙

vm001 发表于 2016-9-25 19:20
测试下数字

报毒名很准，不错啊

jasonliul

样本很旧

拉拉, Zam都kill

驭龙

jasonliul 发表于 2016-9-25 19:25
样本很旧

拉拉, Zam都kill

应急处理中心是19日发的，可样本已经是一个多月的了

jasonliul

驭龙 发表于 2016-9-25 19:26
应急处理中心是19日发的，可样本已经是一个多月的了

噗通中...........................

心醉咖啡

猎豹kill