勒索大礼包

显示全部楼层 · 发表于 2016-9-27 20:18:07

本帖最后由 windows7爱好者于 2016-9-27 20:19 编辑

3个勒索下载器，两个DLL勒索，一个EXE勒索

SEP14剩下两个脚本，被IPS全部拦截

显示全部楼层 · 发表于 2016-9-27 20:30:23

显示全部楼层 · 发表于 2016-9-27 20:32:41

rugu 发表于 2016-9-27 20:30

用rulld32执行那两个dll文件
或者EXE直接玩也行
看看能拦住不

不要实机

显示全部楼层 · 发表于 2016-9-27 20:45:55

NIS 扫描全杀

扫描信息:
  病毒定义版本: 2016.09.27.001
  病毒定义序列 ID: 180781

扫描统计信息:
  扫描开始:
本地: 2016/9/27 20:43
UTC: 2016/9/27 12:43
  扫描时间: 64 秒
  扫描目标: C:\Users\M\Desktop\新建文件夹\勒索大礼包
计数:
  扫描的项目总数: 8
  - 文件和目录: 8
  - 注册表条目: 0
  - 进程和启动项目: 0
  - 网络和浏览器项目: 0
  - 其他: 0
  - 受信任文件: 0
  - 跳过的文件: 0

  检测到的安全风险总数: 4
  已解决的项目总数: 4
  需要注意的项目总数: 0

已解决的威胁:
JS.Downloader
类型: 异常
风险: 高 (高隐藏, 高删除, 高性能, 高隐私)
类别: 病毒
状态: 完全解决
-----------
4 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1840-utc-extracted-file-updated invoice pdf d32161a.wsf - 已删除
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1804-utc-extracted-file-dgwv9m4027.wsf - 已删除
c:\users\m\desktop\新建文件夹\勒索大礼包\dgwv9m4027.wsf - 已删除
c:\users\m\desktop\新建文件夹\勒索大礼包\updated invoice pdf d32161a.wsf - 已删除
1 个浏览器缓存

Ransom.Locky
类型: 异常
风险: 高 (高隐藏, 高删除, 高性能, 高隐私)
类别: 病毒
状态: 完全解决
-----------
1 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1804-utc-downloaded-locky-xxinzimwq1.dll - 已删除
1 个浏览器缓存

Heur.AdvML.B
类型: 异常
风险: 高 (高隐藏, 高删除, 高性能, 高隐私)
类别: 启发式病毒
状态: 完全解决
-----------
1 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-1840-utc-downloaded-locky-gkrs6ipemxdlcqht.dll - 已删除
1 个浏览器缓存

Heur.AdvML.B
类型: 异常
风险: 高 (高隐藏, 高删除, 高性能, 高隐私)
类别: 启发式病毒
状态: 完全解决
-----------
1 个受感染文件
c:\users\m\desktop\新建文件夹\勒索大礼包\2016-09-26-eitest-rig-ek-payload.exe - 已删除
1 个浏览器缓存

未解决的威胁:
没有未解决的风险

显示全部楼层 · 发表于 2016-9-27 20:55:01

本帖最后由 skyboybone 于 2016-9-27 21:01 编辑

显示全部楼层 · 发表于 2016-9-27 21:09:04

skyboybone 发表于 2016-9-27 20:55

还有个EXE

显示全部楼层 · 发表于 2016-9-27 21:22:39

下载拦截

显示全部楼层 · 发表于 2016-9-27 21:25:58

本帖最后由青衣染雪于 2016-9-27 21:38 编辑

火绒下载扫描2x，扫描5x，卡巴清空

显示全部楼层 · 发表于 2016-9-27 21:34:43

AVG：

双击：实机双击，脚本和程序全部阵亡，IDP大获全胜。【我向来不玩dll】

"";"IDP.Trojan.A795607F, C:\Users\abori\Desktop\2016-09-26-EITest-Rig-EK-payload.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:20:45"

"";", C:\Users\abori\Desktop\2016-09-26-EITest-Rig-EK-payload.exe";"Object was blocked";"Process";"2016/9/27, 21:20:45"

"";"General behavioral detection, C:\Users\abori\Desktop\2016-09-26-1840-UTC-extracted-file-Updated invoice pdf D32161A.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:20:06"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:20:06"

"";"IDP.Trojan.1E35695E, C:\Users\abori\AppData\Local\Temp\gkrS6IPeMxdlcQhT.dll";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:19:13"

"";", C:\Windows\System32\rundll32.exe";"Object was blocked";"Process";"2016/9/27, 21:19:13"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:19:13"

"";", C:\Users\abori\Desktop\Updated invoice pdf D32161A.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:19:13"

"";"General behavioral detection, C:\Users\abori\Desktop\DGWV9M4027.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:18:37"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:18:37"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:18:37"

"";", E:\QQPinyin\5.4.3311.400\QQPYService.exe";"Object was blocked";"Process";"2016/9/27, 21:18:37"

"";"IDP.Trojan.1CDD7C7A, C:\Users\abori\AppData\Local\Temp\xXINzimwQ2.dll";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\rundll32.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Windows\System32\wscript.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", E:\QQPinyin\5.4.3311.400\QQPYService.exe";"Object was blocked";"Process";"2016/9/27, 21:17:57"

"";", C:\Users\abori\Desktop\2016-09-26-1804-UTC-extracted-file-DGWV9M4027.wsf";"Deleted, Moved to Virus Vault";"File or Directory";"2016/9/27, 21:17:57"

显示全部楼层 · 发表于 2016-9-27 21:36:22

aboringman 发表于 2016-9-27 21:34
AVG：

双击：实机双击，脚本和程序全部阵亡，IDP大获全胜。【我向来不玩dll】

你又出现了
失踪人口回归

显示全部楼层 · 发表于 2016-9-27 21:38:18

windows7爱好者发表于 2016-9-27 21:09
还有个EXE

好像没运行起来

显示全部楼层 · 发表于 2016-9-27 21:42:39

skyboybone 发表于 2016-9-27 21:38
好像没运行起来

需要FQ

显示全部楼层 · 发表于 2016-9-27 21:45:10

windows7爱好者发表于 2016-9-27 21:36
你又出现了
失踪人口回归

是吗，我居然成了失踪人口

显示全部楼层 · 发表于 2016-9-27 21:47:57

aboringman 发表于 2016-9-27 21:45
是吗，我居然成了失踪人口

现在样本很难找，不好玩啊

显示全部楼层 · 发表于 2016-9-27 21:50:04

windows7爱好者发表于 2016-9-27 21:47
现在样本很难找，不好玩啊

是啊，不过我AVG依旧坚挺如初，我开始觉得IDP对抗勒索型的能力在不断提升

显示全部楼层 · 发表于 2016-9-27 21:52:20

aboringman 发表于 2016-9-27 21:50
是啊，不过我AVG依旧坚挺如初，我开始觉得IDP对抗勒索型的能力在不断提升

现在勒索已经不如当年那么风光了
2017的各家都开始严防死打

显示全部楼层 · 发表于 2016-9-27 21:55:19

windows7爱好者发表于 2016-9-27 21:52
现在勒索已经不如当年那么风光了
2017的各家都开始严防死打

说得也没错，不过这应该只是个开始，而远远不是结束

显示全部楼层 · 发表于 2016-9-27 22:26:13

下次加个密码呗

不然红伞直接拦截下载了

TR/Crypt.ZPACK.iiuwy [trojan

显示全部楼层 · 发表于 2016-9-27 22:26:24

aboringman 发表于 2016-9-27 21:55
说得也没错，不过这应该只是个开始，而远远不是结束

我正在直播SEP大战140个样本，来捧场

显示全部楼层 · 发表于 2016-9-27 22:26:46

欧阳宣发表于 2016-9-27 22:26
下次加个密码呗

不然红伞直接拦截下载了

额，把这个忘了

[病毒样本] 勒索大礼包

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分