楼主: Dolby123
收起左侧

[病毒样本] 2x Powershell Ransomware

[复制链接]
,就一个.
发表于 2017-7-15 12:58:01 | 显示全部楼层
ccboxes 发表于 2017-7-13 09:11
果然,这类样本在BD2018下无法运行,但也没有弹出拦截信息。有点迷。


GD 反勒索触发调用BB结束了下面这些进程行为

Suspicious access to your file system has been detected, which suggests an encryption Trojan.

The following processes were therefore interrupted by G DATA for security reasons:
        ----------------------------------------------------------------
        C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe (PID 4300)
        C:\Windows\system32\windowspowershell\v1.0\powershell.exe (PID 6896)
        C:\Windows\system32\taskhostw.exe (PID 3684)
        C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe (PID 2856)
        C:\Windows\system32\svchost.exe (PID 1176)
        C:\Windows\system32\svchost.exe (PID 2968)
        C:\Windows\system32\wbem\wmiprvse.exe (PID 6320)
        C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe (PID 4524)
        C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 7060)
        C:\Windows\system32\sihost.exe (PID 3608)
        C:\Windows\SysWOW64\svchost.exe (PID 3016)
        C:\Windows\system32\svchost.exe (PID 316)
        C:\Windows\System32\svchost.exe (PID 516)
        C:\Windows\Explorer.EXE (PID 3744)
        C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe (PID 1760)
        C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 2172)
        C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe (PID 5308)
        C:\Users\Administrator\AppData\Roaming\baidu\BaiduNetdisk\YunDetectService.exe (PID 1204)
        C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 3716)
        C:\Program Files (x86)\PowerShadow\App\PowerRemind.exe (PID 1952)
        C:\Program Files (x86)\PowerShadow\App\PsFrame.exe (PID 6972)
        C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 2064)
        C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 208)
        D:\Program Files (x86)\Tencent\SoftMgr\QQPCSoftTrayTips.exe (PID 436)
        C:\Program Files\2345Soft\HaoZip\HaoZipUpdate.exe (PID 6612)
        C:\Program Files\2345Soft\HaoZip\HaoZipLoader.exe (PID 5168)
        C:\Windows\system32\windowspowershell\v1.0\powershell.exe (PID 5180)
        ----------------------------------------------------------------

If blocked, the following programs responsible will be moved to Quarantine:
        ----------------------------------------------------------------
        C:\Users\Administrator\Desktop\cce0da7814b5966ffacfecacec0e87aec83989889b56e4dc37eed7873b51617f.js
        C:\Users\Administrator\Desktop\a242c9ddf4e92088ab3caf11605cb9a35c77fa751c9f37b54eeec0b962cf56d1.js
        ----------------------------------------------------------------

,就一个.
发表于 2017-7-16 23:39:33 | 显示全部楼层
ccboxes 发表于 2017-7-13 12:38
现在PowerShell勒索所应该是最难防御的种类了,BD全程无反应,等我反馈一波。

趋势有点屌啊

威胁名称:        HEU_AEGISCS1028
类型:        威胁
受感染文件:        C:\Windows\System32\wscript.exe
处理措施:        已检测
检测方式:        实时扫描

威胁名称:        HEU_AEGISCS1028
类型:        威胁
受感染文件:        c:\windows\system32\…\powershell.exe
处理措施:        已检测
检测方式:        实时扫描
DF快递
发表于 2017-7-16 23:58:31 | 显示全部楼层
js文件还会加密文件? avastmiss
,就一个.
发表于 2017-7-31 20:49:49 | 显示全部楼层
ccboxes 发表于 2017-7-13 12:38
现在PowerShell勒索所应该是最难防御的种类了,BD全程无反应,等我反馈一波。

卡巴PDM成功拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ccboxes
发表于 2017-8-31 13:22:14 | 显示全部楼层

不对,你这已经是入库杀了
Dolby123
 楼主| 发表于 2017-8-31 19:15:38 | 显示全部楼层
WD

Ransom : PowerShell/Abpodul.A
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-24 11:11 , Processed in 0.077141 second(s), 6 queries , MemCache On.

快速回复 返回顶部 返回列表