ramdisk

rrorr

windows7爱好者 发表于 2016-2-20 12:33
纳尼，难道就是那个作者的样本，被恶意利用了？
不过也可能国内开始流行勒索了

不对，还没挂，附图

windows7爱好者

曾经我们觉得加密勒索已经过时了，现在看来，才是人家的舞台啊
呼叫HIPS前来支援

windows7爱好者

rrorr 发表于 2016-2-20 12:42
不对，还没挂，附图

加密后缀不一样，不是这个样本

icedream89

windows7爱好者 发表于 2016-2-20 12:40
ramdisk.dll.exe感觉是白的，被恶意利用了

我也感觉是白的，
其实jm是个exe
pg是个图
剩下的ramdisk.dll.exe是白的
主程序就是个加密程序吧

windows7爱好者

icedream89 发表于 2016-2-20 12:45
我也感觉是白的，借助这个白的某个dll进去内存，
应该那个jm！！！谁试试- -
其实jm是个exe

猥琐大叔

pal家族

卡巴不知道杀不杀
将相关情况反馈给技术支持

icedream89

windows7爱好者 发表于 2016-2-20 12:48
样本生成器.......可以的

点击执行操作后报错，可能还少了什么东西

看来这个是个解密程序- -

火眼，劫持进程后肆无忌惮的加密- -[mw_shl_code=css,true]
行为描述：添加开机自启动项
附加信息：[TileWallpaper] - 1[Wallpaper] - %USERPROFILE%\black.bmp
行为描述：创建常见系统同名文件，疑似劫持系统正常文件，常见于病毒行为
附加信息：explorer.exe.jm
行为描述：隐藏指定窗口
附加信息：ThunderRT6FormDC : [ramdisk.exe]ThunderRT6Main : [ramdisk.exe]
行为描述：遍历磁盘类型
附加信息：C:,D:,E:,Z:
行为描述：在其他进程中申请内存
附加信息：%system%\wbem\wmiprvse.exe
行为描述：创建互斥体
附加信息："C:?PROGRAM FILES?RAMDISK.EXE""OleDfRoot000408973""RPCSS_REGEVENT:{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}""WMIPRVSE.EXE"
行为描述：创建进程
附加信息：%system%\wbem\wmiprvse.exe[/mw_shl_code]

windows7爱好者

icedream89 发表于 2016-2-20 12:57
劫持进程后肆无忌惮的加密- -
行为描述：添加开机自启动项
附加信息：[TileWallpaper] - 1[Wallpaper]  ...

国内也开始玩这种东西
没卵用，数字会给他颜色看的，宇宙第一快云不是吹的，还有QVM

ymb668888

@pal家族 解压不杀，双击，卡巴杀，但是数据依然被加密