楼主: petr0vic
收起左侧

[病毒样本] WanaCrypt0r.Ransom (17.05.12)

  [复制链接]
ELOHIM
发表于 2017-5-13 00:48:58 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-5-13 02:09 编辑

SCEP 双击干掉。
————————
[HTML] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
日志名称:          System
来源:            Microsoft Antimalware
日期:            2017/5/13 0:21:32
事件 ID:         1116
任务类别:          无
级别:            警告
关键字:           经典
用户:            暂缺
计算机:           PC-PC
描述:
Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
 有关更多信息,请查看下列内容:
[url=http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/WannaCrypt&threatid=2147721381&enterprise=1]http://go.microsoft.com/fwlink/? ... 721381&enterprise=1[/url]
         名称: Ransom:Win32/WannaCrypt
         ID: 2147721381
         严重性: 严重
         类别: 特洛伊木马
         路径: file:_C:\Users\PC\Desktop\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\u.wnry
         检测原点: 本地计算机
         检测类型: 动态签名
         检测源: 实时保护
         用户: PC-PC\PC
         进程名称: C:\Windows\explorer.exe
         签名版本: AV: 1.243.282.0, AS: 1.243.282.0, NIS: 116.88.0.0
         引擎版本: AM: 1.1.13704.0, NIS: 2.1.12706.0
_________________________________________________________________________________________[/b]
[b]Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
 有关更多信息,请查看下列内容:
[url=http://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/WannaCrypt&threatid=2147721381&enterprise=1]http://go.microsoft.com/fwlink/? ... 721381&enterprise=1[/url]
         名称: Ransom:Win32/WannaCrypt
         ID: 2147721381
         严重性: 严重
         类别: 特洛伊木马
         路径: file:_C:\Users\PC\Desktop\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\u.wnry
         检测原点: 本地计算机
         检测类型: 动态签名
         检测源: 实时保护
         用户: PC-PC\PC
         进程名称: C:\Users\PC\Downloads\1.exe
         签名版本: AV: 1.243.282.0, AS: 1.243.282.0, NIS: 116.88.0.0
         引擎版本: AM: 1.1.13704.0, NIS: 2.1.12706.0

_________________________________________________________________________________________



_________________________________________________________________________________________

但是母体还是不杀。因为其是加密的。
那也从侧面证明,现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。
解压密码如果可以破解则另说。

因为虚拟机,性能低下,造成所有文件被加密。
SCEP一边杀一边加密,持续过程进半小时之久。
现在宿主机磁盘还是100%。
相信硬件好的情况下不会出现这种情况。

需要特别说明的是:只读文件被加密。
所以面对勒索软件最好的方法还是及时有效地安全备份。
而并不是严重依赖于任何一款安全软件。
疏漏在所难免。
讽刺的是,高查杀好像更具诱惑性、误导性。
很有一种“我不会防不住的“感觉/”没有我杀不掉的病毒“的感觉。

不知NTFS禁止写入凑不凑效。  平安喜乐。
_________________________________________________________________________________________
补充:如果将加密图片手动改回以前扩展名(虽然并不能看),
那么经过一分钟左右时间以后文件将被彻底删除
_________________________________________________________________________________________
再补充:
[HTML] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
% s \ I n t e l     % s \ P r o g r a m D a t a     cmd.exe /c "%s" XIA 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  %s%d    Global\MsWinZonesCacheCounterMutexA tasksche.exe    TaskStart   t.wnry  icacls . /grant Everyone:F /T /C /Q attrib +h . WNcry@2ol7  /i

那么,该文件解压密码为:
WNcry@2ol7


Wanna Cry 2017   
黑客大神也蛮有趣。


_________________________________________________________________________________________
加密文件类型:
[SQL] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
 .der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc



这个勒索使用了三个重要的文件分别是:cmd.exe|icacls.exe|attrib.exe 。
如果日常没有那么频繁的安装升级软件打补丁,
设置好系统以后,可以禁用他们了吧?

相关链接:http://cn.bing.com/search?q=WNcry%402ol7

终结。睡觉。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
sunnyjianna + 1 就你事多O(∩_∩)O哈哈~
fireherman + 1 就你最YD ^_^

查看全部评分

petr0vic
 楼主| 发表于 2017-5-13 00:53:21 | 显示全部楼层
gwofeng
发表于 2017-5-13 01:57:51 | 显示全部楼层
这隻病毒,在今晚可是超级轰动阿
台湾灾情超级惨
Dolby123
发表于 2017-5-13 02:09:05 | 显示全部楼层
本帖最后由 Dolby123 于 2017-5-13 02:52 编辑

[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
https://intel.malwaretech.com/WannaCrypt.html

动态信息哇 botnet live feed , 中国和俄罗斯最多被感染。时间一久,绿点越来越多了




25分钟之后

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
petr0vic
 楼主| 发表于 2017-5-13 04:21:14 | 显示全部楼层
WannaCry ransomware used in widespread attacks all over the world
https://securelist.com/blog/inci ... all-over-the-world/
Dolby123
发表于 2017-5-13 04:32:49 | 显示全部楼层
本帖最后由 Dolby123 于 2017-5-13 04:34 编辑

another interesting article
http://www.bbc.com/news/technology-39901382

A patch for the vulnerability was released by Microsoft in March, but many systems may not have had the update installed.

心醉咖啡
发表于 2017-5-13 08:06:23 | 显示全部楼层
毒霸扫描miss
900703
发表于 2017-5-13 09:32:03 | 显示全部楼层
Eset小粉絲 发表于 2017-5-12 20:26
avira
Detection:        TR/AD.RansomHeur.ed01eb (Cloud)

Avira Free在病毒爆發當下被過了......
引领四基生活
发表于 2017-5-13 09:49:47 | 显示全部楼层
瑞星
Malware.Heuristic!ET#89%-vZkqDj6QDKF
驭龙
发表于 2017-5-13 10:59:18 | 显示全部楼层
ELOHIM 发表于 2017-5-13 00:48
SCEP 双击干掉。
————————
[mw_shl_code=html,true]日志名称:          System
那也从侧面证明,现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。

这个我反对,看楼上ESET的报毒名,绝不是拉黑,人家报毒名都那么准确,是基因杀啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-6-23 14:38 , Processed in 0.077330 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表