ramdisk

显示全部楼层 · 发表于 2016-2-20 12:27:49

本帖最后由 icedream89 于 2016-2-20 12:51 编辑

windows7爱好者发表于 2016-2-20 12:22
解压出来运行

可能反虚拟机，
实机关闭eset监控，打开交互型HIPS
样本一切行为全部允许
结果如下- -....
重启去了

显示全部楼层 · 发表于 2016-2-20 12:28:44

显示全部楼层 · 发表于 2016-2-20 12:31:04

1446547521 发表于 2016-2-20 12:26
不知道HMPA能防住不。。

HMPA秒加密

显示全部楼层 · 发表于 2016-2-20 12:32:14

rrorr 发表于 2016-2-20 12:31
HMPA秒加密

就是不能防咯?

显示全部楼层 · 发表于 2016-2-20 12:33:20

rrorr 发表于 2016-2-20 12:26
这个和我昨天看到那个好像哦，不过原贴已经被删了
http://bbs.kafan.cn/thread-2028802-1-1.html
我记 ...

纳尼，难道就是那个作者的样本，被恶意利用了？
不过也可能国内开始流行勒索了

显示全部楼层 · 发表于 2016-2-20 12:33:57

1446547521 发表于 2016-2-20 12:26
不知道HMPA能防住不。。

看来以后我要联系手速了，蜘蛛秒弹窗，我秒点

显示全部楼层 · 发表于 2016-2-20 12:36:34

本帖最后由 icedream89 于 2016-2-20 12:40 编辑

windows7爱好者发表于 2016-2-20 12:33
看来以后我要联系手速了，蜘蛛秒弹窗，我秒点

看我前面开交互做大死，感觉里面某个dll有问题，
只要拒绝cmd应该就不会被加密- -我全部允许~~~

显示全部楼层 · 发表于 2016-2-20 12:36:53

icedream89 发表于 2016-2-20 12:27
可能反虚拟机，
实机关闭eset监控，打开交互型HIPS
样本一切行为全部允许

这个好像是白的
软媒内存盘...
意思ESET可以防御喽

显示全部楼层 · 发表于 2016-2-20 12:40:32

双击，卡巴拦截，但是沙盘中的文件已经被加密了

显示全部楼层 · 发表于 2016-2-20 12:40:44

icedream89 发表于 2016-2-20 12:36
看我前面开交互做大死，感觉里面某个dll有问题，
只要拒绝ramdisk.dll.exe运行应该就不会被加密- -我全 ...

ramdisk.dll.exe感觉是白的，被恶意利用了

[可疑文件] ramdisk