CryptoWall(1/55)

显示全部楼层 · 发表于 2016-3-3 21:36:59

本帖最后由绯色鎏金于 2016-3-3 21:51 编辑

悲催，虚拟机和实机开了共享，结果桌面有几个文件被加密了。

阿香婆杀毒，无话可说了，拦截失败，扫描母体不报毒。

火绒默认配置，未添加其他规则，扫描安全，全程安静的被加密了，毫无反应。

显示全部楼层 · 发表于 2016-3-3 21:41:00

果然。。
是那种MP3的病毒。已拦截到相关行为。[mw_shl_code=css,true]2016-3-3 21:38:44 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:38:44 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:38:44 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\CD Burning
值: C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\CD Burning
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:38:44 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:38:44 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:38:44 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:38:44 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:38:53 创建文件风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: C:\WINDOWS\njilofkkgbqj.exe
规则: [应用程序]c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe -> [文件]c:\windows; *.exe

2016-3-3 21:38:53 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:39:02 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: c:\windows\njilofkkgbqj.exe
命令行: C:\WINDOWS\njilofkkgbqj.exe
规则: [应用程序]c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe -> [子应用程序]c:\windows\*.exe

2016-3-3 21:39:02 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\wkssvc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:39:02 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:39:02 加载动态链接库风险级别:中阻止
进程: c:\windows\njilofkkgbqj.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [动态链接库]*\usp10.dll

2016-3-3 21:39:02 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Documents
值: C:\Documents and Settings\All Users\Documents
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:39:02 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; ProxyBypass

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; IntranetName

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; UNCAsIntranet

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; AutoDetect

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; ProxyBypass

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; IntranetName

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; UNCAsIntranet

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
值: 0x00000001(1)
规则: [注册表组]拦截_重要关联 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap; AutoDetect

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:39:02 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
值: C:\Documents and Settings\Administrator\Cookies
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-3 21:39:02 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: \Device\NamedPipe\{A4A8723A-44EA-465e-A48F-1A700FC991C7}
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-3 21:39:14 创建新进程风险级别:未知允许
进程: c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\WINDOWS\system32\cmd.exe" /c DEL C:\DOCUME~1\ADMINI~1\桌面\SXJDFA~1.EXE
规则: [应用程序]c:\documents and settings\administrator\桌面\sxjdfaimnuku.exe -> [子应用程序]c:\windows\*.exe

2016-3-3 21:39:14 修改注册表值风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal
值: C:\Documents and Settings\Administrator\My Documents
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 21:39:14 修改注册表值风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\CD Burning
值: C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\CD Burning
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 21:39:15 修改注册表值风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop
值: C:\Documents and Settings\Administrator\桌面
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 21:39:15 修改注册表值风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common Desktop
值: C:\Documents and Settings\All Users\桌面
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 21:39:15 修改注册表值风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序组]→S+_SystemRoot -> [应用程序]c:\windows\* -> [注册表组]阻止_Shell Folders

2016-3-3 21:39:15 修改注册表值风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\yyemkve
值: C:\WINDOWS\system32\CMD.EXE /c start C:\WINDOWS\njilofkkgbqj.exe
规则: [应用程序组]→S+_SystemRoot -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2016-3-3 21:39:15 修改注册表值风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLinkedConnections
值: 0x00000001(1)
规则: [应用程序组]→S+_SystemRoot -> [注册表组]拦截_HEUR.Win32.Malware Regs -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\*

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\Documents and Settings\Administrator\My Documents\recover_file_iswhhkhuj.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\$CHJW\_ReCoVeRy_+xyctw.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\$CHJW\_ReCoVeRy_+xyctw.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\$CHJW\_ReCoVeRy_+xyctw.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+xyctw.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+xyctw.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\$VAULT\_ReCoVeRy_+xyctw.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\_ReCoVeRy_+xyctw.png
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\_ReCoVeRy_+xyctw.txt
规则: [应用程序组]→S+_SystemRoot -> [文件组]拦截_禁止创建文件的目录{SystemDrive}

2016-3-3 21:39:15 创建文件风险级别:未知阻止
进程: c:\windows\njilofkkgbqj.exe
目标: C:\$AVG\_ReCoVeRy_+xyctw.html
规则: [应用程序组]→S+_SystemRoot -> [文件组]木马防御[2]_Htm

2016-3-3 21:39:17 读文件夹风险级别:低允许
进程: c:\windows\njilofkkgbqj.exe
目标: C:\a
规则: [应用程序组]→S+_SystemRoot -> [文件组]终止_高优先 -> [文件]?:\; ?

2016-3-3 21:39:21 读文件夹风险级别:低允许
进程: c:\windows\njilofkkgbqj.exe
目标: C:\a\a
规则: [应用程序组]→S+_SystemRoot -> [文件组]终止_高优先 -> [文件]?:\?\*

2016-3-3 21:39:23 读文件风险级别:未知允许
进程: c:\windows\njilofkkgbqj.exe
目标: C:\a\a\a.7z
规则: [应用程序组]→S+_SystemRoot -> [文件组]终止_高优先 -> [文件]?:\?\*

2016-3-3 21:39:30 读文件风险级别:未知允许
进程: c:\windows\njilofkkgbqj.exe
目标: C:\a\a\a.avi
规则: [应用程序组]→S+_SystemRoot -> [文件组]终止_高优先 -> [文件]?:\?\*

2016-3-3 21:39:42 修改文件风险级别:未知 (2) 允许
进程: c:\windows\njilofkkgbqj.exe
目标: C:\a\a\a.doc
规则: [应用程序]c:\windows\njilofkkgbqj.exe -> [文件]c:\a\a\*

2016-3-3 21:39:56 创建文件风险级别:未知允许
进程: c:\windows\njilofkkgbqj.exe
目标: C:\a\a\a.doc.mp3
规则: [应用程序]c:\windows\njilofkkgbqj.exe -> [文件]c:\a\a\*

2016-3-3 21:39:59 修改文件风险级别:未知阻止并结束进程
进程: c:\windows\njilofkkgbqj.exe
目标: C:\a\a\a.mdb
规则: [应用程序]c:\windows\njilofkkgbqj.exe -> [文件]c:\a\a\*
[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-3 21:45:33

另。即使改回原扩展名，也没有用。文件已报废了。
很像当年的烧香。。

显示全部楼层 · 发表于 2016-3-3 21:54:15

雨宫优子发表于 2016-3-3 21:23
会kill cmd和任务管理器

会全盘搜索jpg txt doc等文件然后加密被加密的文件后缀多增加一个.mp3

我这沙盘双击，确实未发现有啥异常，这是个什么情况

显示全部楼层 · 发表于 2016-3-3 21:55:13

趋势主防HEU_AEGISCS986
AVG双击报错
HMPA[mw_shl_code=css,true]Mitigation CallerCheck

Platform    6.1.7601/x86 06_3c*
PID       2984
Application  C:\Users\Administrator.PC\Desktop\sxjdfaimnuku.exe

Stack Trace
#  Address  Module                Location
-- -------- ------------------------ ----------------------------------------
1  0012A9FC (anonymous)
         89c6                   MOV       ESI, EAX
         c68519f4ffff75          MOV       BYTE [EBP-0xbe7], 0x75
         c6851af4ffff73          MOV       BYTE [EBP-0xbe6], 0x73
         c6851bf4ffff65          MOV       BYTE [EBP-0xbe5], 0x65
         c6851cf4ffff72          MOV       BYTE [EBP-0xbe4], 0x72
         c6851df4ffff33          MOV       BYTE [EBP-0xbe3], 0x33
         c6851ef4ffff32          MOV       BYTE [EBP-0xbe2], 0x32
         c6851ff4ffff2e          MOV       BYTE [EBP-0xbe1], 0x2e
         c68520f4ffff64          MOV       BYTE [EBP-0xbe0], 0x64

Process Trace
1  C:\Users\Administrator.PC\Desktop\sxjdfaimnuku.exe [2984]
2  C:\Windows\explorer.exe [3528]
3  C:\Windows\System32\userinit.exe [3444]
4  C:\Windows\System32\winlogon.exe [3228]
winlogon.exe
5  C:\Windows\System32\smss.exe [3172]
\SystemRoot\System32\smss.exe 00000000 00000040 [/mw_shl_code]

显示全部楼层 · 发表于 2016-3-3 21:55:56

左手发表于 2016-3-3 21:45
另。即使改回原扩展名，也没有用。文件已报废了。
很像当年的烧香。。

烧香好像是纯破坏吧，没有勒索的功能

显示全部楼层 · 发表于 2016-3-3 21:57:18

ymb668888 发表于 2016-3-3 21:54
我这沙盘双击，确实未发现有啥异常，这是个什么情况

检测沙盘又不难。。。

这个有壳正常吧

另外沙盘并不非常安全建议虚拟机并且关闭所有的共享机制

显示全部楼层 · 发表于 2016-3-3 22:00:10

红伞云查杀'TR/Crypt.ZPACK.Gen4 (Cloud)' [trojan]

显示全部楼层 · 发表于 2016-3-3 22:00:42

windows7爱好者发表于 2016-3-3 21:55
烧香好像是纯破坏吧，没有勒索的功能

嗯。很烦这样的破坏型病毒。
郁闷。
现在都要钱了。

显示全部楼层 · 发表于 2016-3-3 22:02:16

雨宫优子发表于 2016-3-3 21:57
检测沙盘又不难。。。

这个有壳正常吧

好把，那么也代表卡巴，完全被过了，从始至终，一点反应没有

[病毒样本] CryptoWall(1/55)

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

评分