查看: 8022|回复: 51
收起左侧

[可疑文件] File name: q2oic2i0b.exe Detection ratio: 7 / 62 带有数字签名的勒索

  [复制链接]
墨家小子
发表于 2017-7-18 21:30:15 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2017-7-18 21:36 编辑

https://mega.nz/#!pG4THCiS!s7qkjqR2o-rSXbkGZRPwButySv9yyV75EmCYP7DvA08

https://www.upload.ee/files/7241168/q2oic2i0b.exe.html

BaiduWin32.Trojan.WisdomEyes.16070401.9500.999920170718
Invinceaheuristic20170607
KasperskyUDS:DangerousObject.Multi.Generic20170718
Palo Alto Networks (Known Signatures)generic.ml20170718
RisingMalware.Obscure!1.9C59 (classic)20170718
WebrootW32.Trojan.Gen20170718
ZoneAlarm by Check PointUDS:DangerousObject.Multi.Generic20170718



07/18/17 21:23:47 Prevented process <q2oic2i0b.exe> from writing to <c:\users\XXX\desktop\sync\x\x»ìÄyíá½á11ê©1¤í¼Æ½ÃæÕûìå±íê¾·½·¨ÖÆí¼1æÔòoí11ÔìÏêí¼£¨¶àᢻù′¡¡¢ìõDλù′¡¡¢·¤Dλù′¡¡¢×®»ù′¡)¡¾3¬ÇåÎú£¬¿é′òó¡¡¿.pdf>.


07/18/17 21:23:41 Prevented process <q2oic2i0b.exe> from writing to <c:\users\all users\usoprivate\xlliveud\xmp_4.9.17.2316_97a4b53cf423e8d0502d16615378fa82_patchinfo.xml>.


07/18/17 21:23:33 Prevented process <q2oic2i0b.exe> from writing to <c:\users\all users\microsoft\crypto\systemkeys\s-1-5-18\e46c1c49f7efcda529f4c48f1f2af2b4_d7efd7d1-1cca-4788-8d12-ecc756e16c04>.


07/18/17 21:23:22 Prevented process <q2oic2i0b.exe> from writing to <c:\users\all users>.


07/18/17 21:23:20 Prevented process <q2oic2i0b.exe> from writing to <c:\users\all users\documents\photomaster\boomerang\profile.ini>.


07/18/17 21:23:14 Prevented process <q2oic2i0b.exe> from writing to <c:\userguidepdf\pdf\fi-fi.pdf>.


07/18/17 21:23:07 Prevented process <q2oic2i0b.exe> from writing to <c:\users\XXX\appdata\local\temp\etilqs_fkdm7qegjknsbj3>.


07/18/17 21:23:07 Prevented <q2oic2i0b.exe> from writing to <\registry\user\s-1-5-21-882639051-1261622828-682048811-1001\software\microsoft\windows\currentversion\run>.


此刻我的心情是卧槽的……







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xu378947986
发表于 2017-7-18 21:35:54 | 显示全部楼层
eset 发现威胁
学雷锋做人
头像被屏蔽
发表于 2017-7-18 21:52:42 | 显示全部楼层
火绒扫描 Kill


关闭文件实时监控,双击准确报出勒索,但此时桌面文件已被加密



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
fdsax
发表于 2017-7-18 21:52:43 | 显示全部楼层
本帖最后由 fdsax 于 2017-7-18 22:49 编辑

emsi防御失败,文件被加密!自定义规则防御成功!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Sailer.X 该用户已被删除
发表于 2017-7-18 22:09:54 | 显示全部楼层
本帖最后由 霄栋 于 2017-7-18 22:25 编辑
fdsax 发表于 2017-7-18 21:52
emsi防御失败,文件被加密!

好像因为带数字签名,EMSI将样本视为可信,BB没有监控样本本身的行为

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
westbyte
头像被屏蔽
发表于 2017-7-18 22:12:06 | 显示全部楼层
本帖最后由 westbyte 于 2017-7-18 22:46 编辑

Voodooshield拦截
这样本我估计COMODO Firewall会中
欢迎双击@HEMM
fdsax
发表于 2017-7-18 22:17:22 | 显示全部楼层
霄栋 发表于 2017-7-18 22:09
好像因为带数字签名,EMSI将样本视为可信,BB没有监控样本本身的行为

还有这种操作?
westbyte
头像被屏蔽
发表于 2017-7-18 22:19:43 | 显示全部楼层
霄栋 发表于 2017-7-18 22:09
好像因为带数字签名,EMSI将样本视为可信,BB没有监控样本本身的行为

勒索收到的赎金减去买证书的钱还有盈余,带数字签名的勒索病毒会多起来吧
引领五基生活
发表于 2017-7-18 22:25:25 | 显示全部楼层
实机?
Sailer.X 该用户已被删除
发表于 2017-7-18 22:28:52 | 显示全部楼层
fdsax 发表于 2017-7-18 22:17
还有这种操作?

已经上报给emsi了,看他们怎么说吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 01:19 , Processed in 0.146560 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表