恶性敲竹杠！！千万不要实机运行！貌似改MBR，删除分区表！！

显示全部楼层 · 发表于 2015-10-16 18:25:44

红伞杀“TR/Crypt.XPACK.Gen3”[trojan]

显示全部楼层 · 发表于 2015-10-16 18:50:31

9楼编辑@无效，所以再发个帖子，请问楼主这个样本是如何触发的？

显示全部楼层 · 发表于 2015-10-16 19:03:27

解压得到两个文件，软件限制策略实机运行诛杀.exe，约两秒钟后自动消失，无任何异常。

显示全部楼层 · 发表于 2015-10-16 20:33:53

学雷锋做人发表于 2015-10-16 18:50
9楼编辑@无效，所以再发个帖子，请问楼主这个样本是如何触发的？

当前求助者似乎是直接运行后触发的，XP系统。

显示全部楼层 · 发表于 2015-10-16 21:25:32

虚拟机下：
重启可以正常进入系统，没那么可怕，高度怀疑这货反虚拟机，一款监控软件只提示修改物理内存，上面说要下载最新版本，最新版本的衔接已失效，我刚买的电脑，不敢实体机运行，勇者上。

显示全部楼层 · 发表于 2015-10-16 21:36:05

avast kill

显示全部楼层 · 发表于 2015-10-16 21:37:45

zhou0197 发表于 2015-10-16 20:33
当前求助者似乎是直接运行后触发的，XP系统。

我明白了，这个东西有检测虚拟机的功能，所以我在虚拟机XP系统运行下无效

显示全部楼层 · 发表于 2015-10-16 21:38:52

学雷锋做人发表于 2015-10-16 21:37
我明白了，这个东西有检测虚拟机的功能，所以我在虚拟机XP系统运行下无效

我这里也是差不多……

显示全部楼层 · 发表于 2015-10-16 21:53:19

显示全部楼层 · 发表于 2015-10-16 21:54:24

agwlg 发表于 2015-10-16 21:25
虚拟机下：
重启可以正常进入系统，没那么可怕，高度怀疑这货反虚拟机，一款监控软件只提示修改物理内存， ...

卸载VM虚拟机内的增强工具看看能不能行？

[病毒样本] 恶性敲竹杠！！千万不要实机运行！貌似改MBR，删除分区表！！