Locky Ransomware

显示全部楼层 · 发表于 2016-2-18 21:38:09

AVG：

扫描：miss；

双击：实机双击，IDP击杀之。（连同衍生物“svchost.exe”和“SYSE3BB.TMP”，阻止cmd.exe的后续操作，并删除其修改（添加/篡改）的一个注册表项）

"";"IDP.Program.D1B0A5C0, C:\Users\killer\AppData\Local\Temp\svchost.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/2/18, 21:34:12"

"";", C:\USERS\KILLER\DESKTOP\7647GD7B43F43.EXE";"Object was blocked";"Process";"2016/2/18, 21:34:12"

"";", C:\Windows\System32\cmd.exe";"Object was blocked";"Process";"2016/2/18, 21:34:12"

"";", C:\USERS\KILLER\APPDATA\LOCAL\TEMP\SYSE3BB.TMP";"Deleted";"File or Directory";"2016/2/18, 21:34:12"

"";", C:\Users\killer\AppData\Local\Temp\svchost.exe";"Object was blocked";"Process";"2016/2/18, 21:34:12"

"";", HKEY_USERS\S-1-5-21-540828005-2055914412-3868506426-1000\SOFTWARE\LOCKY";"Deleted, Moved to Virus Vault";"Registry key";"2016/2/18, 21:34:12"

显示全部楼层 · 发表于 2016-2-18 21:46:25

KIS双击

18.02.2016 21.44.02;检测到恶意程序;PDM:Trojan.Win32.Bazon.a;Ablating;e:\迅雷下载\7647gd7b43f43.exe;02/18/2016 21:44:02
18.02.2016 21.44.02;恶意程序已终止;PDM:Trojan.Win32.Bazon.a;Ablating;E:\迅雷下载\7647gd7b43f43.exe;02/18/2016 21:44:02

18.02.2016 21.45.34;检测到的对象 ( 处理内存 ) 已删除。;
e:\迅雷下载\7647gd7b43f43.exe;
e:\迅雷下载\7647gd7b43f43.exe;
PDM:Trojan.Win32.Bazon.a;
其它恶意软件;02/18/2016 21:45:34

显示全部楼层 · 发表于 2016-2-18 21:51:54

BD双击
ATC干掉

@cxy密斯

显示全部楼层 · 发表于 2016-2-18 22:10:05

双击 sonar妥妥的kill
文件名: 7647gd7b43f43.exe
威胁名称: SONAR.SuspDrop!gen1完整路径: 不可用

____________________________

____________________________

在电脑上的创建时间
2016/2/18 星期四 ( 下午 10:08:54 )

上次使用时间
2016/2/18 星期四 ( 下午 10:08:54 )

启动项目
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

7647gd7b43f43.exe 威胁名称: SONAR.SuspDrop!gen1
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
360zip.exe

创建的文件:
7647gd7b43f43.exe

____________________________

文件操作

文件: d:\下载库\locky\ 7647gd7b43f43.exe 威胁已删除
事件: 正在运行进程: d:\下载库\locky\ 7647gd7b43f43.exe 已终止
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Tracing\ 7647gd7b43f43_RASAPI32, 注册表配置单元: 64 位威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-662113287-11160512-4250110363-500\Software\ Locky, 注册表配置单元: 64 位威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 d:\下载库\locky\7647gd7b43f43.exe, PID:6152) 未采取操作
(执行者 d:\下载库\locky\7647gd7b43f43.exe, PID:6152) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\local\temp\ svchost.exe (执行者 d:\下载库\locky\7647gd7b43f43.exe, PID:6152) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-2-19 00:20:45

cxy密斯发表于 2016-2-18 20:38
过BD扫描

没用BETS双击下马？

显示全部楼层 · 发表于 2016-2-19 02:42:25

avira

显示全部楼层 · 发表于 2016-2-19 08:08:27

显示全部楼层 · 发表于 2016-2-19 19:07:07

显示全部楼层 · 发表于 2016-2-22 10:39:41

name="C:\Users\XuanXia\Desktop\Locky\7647gd7b43f43.exe", threat="Win32/Filecoder.Locky.A trojan", action="", info=""

[病毒样本] Locky Ransomware

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块