Ransomeware 新变种出现（已有样本）

显示全部楼层 · 发表于 2012-4-13 18:42:54

Malcide Scanner
Version - 1.0.655

Heuristics - Extreme

Scanning now...
Date - 2012/4/13 Time - 18:42:39
Targets:
C:\Users\Gateway\Desktop\ACCDFISA

C:\Users\Gateway\Desktop\ACCDFISA\Variant 1\sys100s.exe_ - HEUR:Win32.Trojan-Dropper.RARSfx
C:\Users\Gateway\Desktop\ACCDFISA\Variant 2\mp.zip > ZIP > mp\nsf.exe - HEUR:Win32.Packed.Gen.3
C:\Users\Gateway\Desktop\ACCDFISA\Variant 3\3896f8a37034429e9784d767765d85ef6dcde105320568516fac4e31400514db.exe_ - HEUR:Win32.Trojan-Dropper.RARSfx
C:\Users\Gateway\Desktop\ACCDFISA\Variant 4\cgi19-alptsevs-h555.exe_ - HEUR:Win32.Trojan-Dropper.RARSfx

12 Objects scanned
3 Malicious objects found
1 Suspicious objects found
4 Threats found

Finish time - 18:42:45
Duration - 6 second(s) (00:00:06)

显示全部楼层 · 发表于 2012-4-13 18:49:27

本帖最后由 360Tencent 于 2012-4-13 19:03 编辑

hx1997 发表于 2012-4-13 18:42
Malcide Scanner
Version - 1.0.655

http://blog.emsisoft.com/2012/04 ... ng-windows-servers/

kernelmode 有Emsisoft Developer 的分析，内容同上,DrWEB 的那个解锁工具可能并非针对这一系列（界面上的联系邮箱不同），抱歉

显示全部楼层 · 发表于 2012-4-13 18:52:11

显示全部楼层 · 发表于 2012-4-13 18:58:35

360Tencent 发表于 2012-4-13 18:49
http://blog.emsisoft.com/2012/04/11/the-accdfisa-malware-family-ransomware-targetting-windows-se ...

没事，我在虚拟机跑着玩的，我想看看 Dr. Web 怎么可能恢复 AES 256 加密的文件。

显示全部楼层 · 发表于 2012-4-13 19:05:21

hx1997 发表于 2012-4-13 18:58
没事，我在虚拟机跑着玩的，我想看看 Dr. Web 怎么可能恢复 AES 256 加密的文件。

所以除了提前识别，没其他办法，一旦中招，要么付钱要么原来就有备份

显示全部楼层 · 发表于 2012-4-14 13:59:55

动作太明显

-----------------------------------------------------------------------------------

程序：
D:\下载\ACCDFISA\VARIANT 4\CGI19-ALPTSEVS-H555.EXE
木马程序生成以下文件：
1) C:\WINDOWS\SYSTEM32\NSF.EXE
2) C:\WINDOWS\SYSTEM32\SVSCHOST.EXE
3) C:\WINDOWS\SYSTEM32\CFWIN32.DLL
4) C:\WINDOWS\SYSTEM32\CSRSS32.DLL
5) C:\WINDOWS\SYSTEM32\CSRSS64.DLL
6) C:\WINDOWS\SYSTEM32\NOSAFEMODE.DLL
7) C:\WINDOWS\SYSTEM32\DEFAULT2.SFX
是否删除木马程序及其衍生物?

显示全部楼层 · 发表于 2012-4-14 14:07:45

dm34343667 发表于 2012-4-14 13:59
动作太明显

-----------------------------------------------------------------------------------

见 24 楼。

显示全部楼层 · 发表于 2012-4-14 14:12:27

hx1997 发表于 2012-4-14 14:07
见 24 楼。

神马是密码呢？

显示全部楼层 · 发表于 2012-4-14 14:15:59

dm34343667 发表于 2012-4-14 14:12
神马是密码呢？

见 1 楼及 34 楼。

看不懂英文？

就是万一这个样本运行成功了，它会加密你电脑上所有的文档（Word 文档之类的），然后把它们的原文件粉碎掉，并要求你交赎金来恢复你的文档，500 美刀好像，然后过了 48 小时你还不给的话赎金升级为 1000 美刀。

顺便，暴力破解密码的话需要 65687022485656026733869199236174e+86 年。

显示全部楼层 · 发表于 2012-4-14 14:17:37

hx1997 发表于 2012-4-14 14:15
见 1 楼及 34 楼。

看不懂英文？

真看不懂E文英语太烂了

[其他相关] Ransomeware 新变种出现（已有样本）

评分

本帖子中包含更多资源