2 / 55 Hitman Pro Alert 拦截另一种类型的加密勒索

墨家小子

SHA256:        7a3e4040606b4a813bea743eef6829bf2484c62b61d40741b20e806e207f7fbc
File name:        7a3e4040606b4a813bea743eef6829bf2484c62b61d40741b20e806e207f7fbc.exe
Detection ratio:        2 / 55
Analysis date:        2015-12-01 13:22:47 UTC ( 1 minute ago )
https://www.virustotal.com/en/fi ... nalysis/1448976167/



看日志，全部允许，样本执行explorer，explorer写入启动项，explorer执行svchost，svchost.exe联回到服务器……HitmanPro.Alert在即将加密的瞬间弹窗，然后看了看explorer写入启动项也没有了！

2015/12/2 21:35:23,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\AAAAA\Desktop\2222\7a3e4040606b4a813bea743eef6829bf2484c62b61d40741b20e806e207f7fbc.exe" )

2015/12/2 21:35:44,C:\Users\AAAAA\Desktop\2222\7a3e4040606b4a813bea743eef6829bf2484c62b61d40741b20e806e207f7fbc.exe,53,Allowed ;执行应用程序 ("C:\windows\syswow64\explorer.exe")

2015/12/2 21:35:46,C:\Windows\SysWOW64\explorer.exe,26,Allowed ;修改受保护的注册表键 (HKCU\Software\Microsoft\Windows\CurrentVersion\Run,7f555a3b)

2015/12/2 21:35:49,C:\Windows\SysWOW64\explorer.exe,53,Allowed ;执行应用程序 (-k netsvcs)

2015/12/2 21:35:52,C:\Windows\SysWOW64\svchost.exe,48,Allowed ;出站网络访问

2015/12/2 21:36:04,C:\Program Files (x86)\HitmanPro.Alert\hmpalert.exe,53,Allowed ;执行应用程序 ("C:\Program Files (x86)\HitmanPro.Alert\hmpalert.exe" /alert:748570CE937BB4AD)

坏脾气的男生

过了费尔云鉴定，哈勃鉴定也是安全文件，费尔云鉴定发疯了，几个样本要传几次。

wjy19800315

XywCloud

SUD to BAV

墨家小子

居然有人还敢说是安全文件？？多大仇！！！

尘梦幽然

pal家族

卡巴斯基安全软件
拒绝访问
无法访问该网页

对象 URL：

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxODY3MjI5

原因：

对象感染源 Trojan.Win32.Yakes.npmd
消息生成日期： 2015/12/2 21:55:23

卡巴斯基的入库时错误的

驭龙

墨家小子 发表于 2015-12-2 21:45
居然有人还敢说是安全文件？？多大仇！！！

无疑是勒索加密，哈

ESS杀
Log
E:\VIR\MJXZ\7a3e4040606b4a813bea743eef6829bf2484c62b61d40741b20e806e207f7fbc.rar » RAR » 7a3e4040606b4a813bea743eef6829bf2484c62b61d40741b20e806e207f7fbc.exe - Win32/Filecoder.FJ trojan - deleted - quarantined