2x Powershell Ransomware

显示全部楼层 · 发表于 2017-7-13 12:36:55

ccboxes 发表于 2017-7-13 12:31
这个还带蠕虫性质？通过你的电脑传到了公司文件服务器？
还有你有备份么。。。。。。。。。

嗯，服务器被侵染了
之前的项目每周都备份，当前的没有保持这个习惯，好在数据库没事儿，只是索引文件被加密了

显示全部楼层 · 发表于 2017-7-13 12:38:49

Dolby123 发表于 2017-7-13 12:34
没有修改扩展名，但文件确是被修改加密了，打开无效

现在PowerShell勒索所应该是最难防御的种类了，BD全程无反应，等我反馈一波。

显示全部楼层 · 发表于 2017-7-13 12:38:59

ccboxes 发表于 2017-7-13 12:32
加密后缀名是啥？

原先是.dat文件，加密后变成.html文件，用EmEdit打开就是我8L那个截图

显示全部楼层 · 发表于 2017-7-13 12:55:12

诺顿影子实机被过，桌面文件被加密。

显示全部楼层 · 发表于 2017-7-13 13:01:50

900703 发表于 2017-7-13 01:53
看來MAX偵測率很棒嘛
360 Scan Miss! 雙擊攔截

这特么靠路径来判断？

显示全部楼层 · 发表于 2017-7-13 13:02:49

ccboxes 发表于 2017-7-13 12:38
现在PowerShell勒索所应该是最难防御的种类了，BD全程无反应，等我反馈一波。

hips反而最好防！

显示全部楼层 · 发表于 2017-7-13 16:18:05

Gollum 发表于 2017-7-13 12:29
单位局域网里的服务器，工程项目都在上面

没有被罚吗

显示全部楼层 · 发表于 2017-7-13 16:25:16

luxl 发表于 2017-7-13 16:18
没有被罚吗

数据库没事儿，把索引文件修复后就完美如初了

显示全部楼层 · 发表于 2017-7-13 16:29:59

哈勃
https://habo.qq.com/file/showdetail?pk=ADAGZl1tB2YIO1s0
https://habo.qq.com/file/showdetail?pk=ADAGZl1tB2YIO1s7

显示全部楼层 · 发表于 2017-7-14 12:54:14

Norton已入库

Submission Summary

Files Submitted
#       Filename       MD5       Determination       Signature Protection Name       RR Seq#
1       2x.zip       0x81290C72150ADA4FF693D545BD341229       Archive       N/A       N/A
2       a242c9ddf4e92088ab3caf11605cb9a35c77fa751c9f37b54eeec0b962cf56d1.js       0x92012CEFD3EB790E87114FDF7EBC71E5       NewThreat       Downloader
N/A
3       cce0da7814b5966ffacfecacec0e87aec83989889b56e4dc37eed7873b51617f.js       0xA7200CD7778C40292B17736184DCD2AE       AlreadyDetected       Trojan.Gen.NPE.2
N/A
Developer Notes:

2x.zip is a container file e.g. archive, email

a242c9ddf4e92088ab3caf11605cb9a35c77fa751c9f37b54eeec0b962cf56d1.js is a non-repairable threat.

cce0da7814b5966ffacfecacec0e87aec83989889b56e4dc37eed7873b51617f.js is detected by Symantec AV products with the latest definitions.

[病毒样本] 2x Powershell Ransomware

本帖子中包含更多资源