Ransom.Petya (16.12.07)

显示全部楼层 · 发表于 2016-12-8 01:37:23

https://www.virustotal.com/en/fi ... 481132040/#analysis

[mw_shl_code=css,true]Antiy-AVL Trojan[:HEUR]/Win32.AGeneric
CrowdStrike Falcon (ML) malicious_confidence_63% (D)
ESET-NOD32 a variant of Win32/Diskcoder.Petya.D
Kaspersky UDS:DangerousObject.Multi.Generic
Malwarebytes Ransom.Petya
VBA32 Malware-Cryptor.General.3[/mw_shl_code]

infected

显示全部楼层 · 发表于 2016-12-8 02:12:56

cylance miss

显示全部楼层 · 发表于 2016-12-8 02:16:00

本帖最后由 petr0vic 于 2016-12-8 02:19 编辑

Webroot
miss

Great rollback

Files restored

显示全部楼层 · 发表于 2016-12-8 03:01:07

petr0vic 发表于 2016-12-8 02:16
Webroot
miss

这修复简直逆天，相当于先让系统被感染，再救回来……

显示全部楼层 · 发表于 2016-12-8 03:52:28

欧阳宣发表于 2016-12-8 03:01
这修复简直逆天，相当于先让系统被感染，再救回来……

话说其实这个思路挺好，只要能够记录文件改动，哪怕miss之后也可以手动block然后回滚

显示全部楼层 · 发表于 2016-12-8 08:23:10

chenrui19930 发表于 2016-12-8 03:52
话说其实这个思路挺好，只要能够记录文件改动，哪怕miss之后也可以手动block然后回滚

其实不算是好，这样很消耗系统资源的

显示全部楼层 · 发表于 2016-12-8 08:26:01

显示全部楼层 · 发表于 2016-12-8 08:31:03

话说eset对ransom的命名修改了？从filecoder变成了Diskcoder？

显示全部楼层 · 发表于 2016-12-8 08:38:35

显示全部楼层 · 发表于 2016-12-8 09:42:24

schumi小粉发表于 2016-12-8 08:31
话说eset对ransom的命名修改了？从filecoder变成了Diskcoder？

应该没改，这个样本应该是MBR注入之类吧，所以才用disk命名。

[病毒样本] Ransom.Petya (16.12.07)

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源