勒索软件家族新成员——Cerber ransomware 2X

显示全部楼层 · 发表于 2016-3-4 13:55:40

AVG双击2个都报错是不是少了点什么东西

这个重启后加密有意思，NS好像不见了
HMPA
[mw_shl_code=css,true]Mitigation CallerCheck

Platform    6.1.7601/x86 06_3c*
PID       2732
Application  C:\Users\Administrator.PC\Desktop\a5ff5f861bbb1ac7c6fd44f303f735fac01273ce2ae43a8acb683076192fcfcc.exe
Description  Remove junk files and traces from Windows computer 6.1

Stack Trace
#  Address  Module                Location
-- -------- ------------------------ ----------------------------------------
1  0012AAE8 (anonymous)
         89c6                   MOV       ESI, EAX
         c68519f4ffff75          MOV       BYTE [EBP-0xbe7], 0x75
         c6851af4ffff73          MOV       BYTE [EBP-0xbe6], 0x73
         c6851bf4ffff65          MOV       BYTE [EBP-0xbe5], 0x65
         c6851cf4ffff72          MOV       BYTE [EBP-0xbe4], 0x72
         c6851df4ffff33          MOV       BYTE [EBP-0xbe3], 0x33
         c6851ef4ffff32          MOV       BYTE [EBP-0xbe2], 0x32
         c6851ff4ffff2e          MOV       BYTE [EBP-0xbe1], 0x2e
         c68520f4ffff64          MOV       BYTE [EBP-0xbe0], 0x64

Process Trace
1  C:\Users\Administrator.PC\Desktop\a5ff5f861bbb1ac7c6fd44f303f735fac01273ce2ae43a8acb683076192fcfcc.exe [2732]
2  C:\Windows\explorer.exe [3528]
3  C:\Windows\System32\userinit.exe [3444]
4  C:\Windows\System32\winlogon.exe [3228]
winlogon.exe
5  C:\Windows\System32\smss.exe [3172]
\SystemRoot\System32\smss.exe 00000000 00000040

Mitigation CallerCheck

Platform    6.1.7601/x86 06_3c*
PID       836
Application  C:\Users\Administrator.PC\Desktop\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe

Stack Trace
#  Address  Module                Location
-- -------- ------------------------ ----------------------------------------
1  0012A748 (anonymous)
         89c6                   MOV       ESI, EAX
         c68519f4ffff75          MOV       BYTE [EBP-0xbe7], 0x75
         c6851af4ffff73          MOV       BYTE [EBP-0xbe6], 0x73
         c6851bf4ffff65          MOV       BYTE [EBP-0xbe5], 0x65
         c6851cf4ffff72          MOV       BYTE [EBP-0xbe4], 0x72
         c6851df4ffff33          MOV       BYTE [EBP-0xbe3], 0x33
         c6851ef4ffff32          MOV       BYTE [EBP-0xbe2], 0x32
         c6851ff4ffff2e          MOV       BYTE [EBP-0xbe1], 0x2e
         c68520f4ffff64          MOV       BYTE [EBP-0xbe0], 0x64

Process Trace
1  C:\Users\Administrator.PC\Desktop\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe [836]
2  C:\Windows\explorer.exe [3528]
3  C:\Windows\System32\userinit.exe [3444]
4  C:\Windows\System32\winlogon.exe [3228]
winlogon.exe
5  C:\Windows\System32\smss.exe [3172]
\SystemRoot\System32\smss.exe 00000000 00000040
[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-4 14:08:25

重新扫描，报一个，速度挺快

显示全部楼层 · 发表于 2016-3-4 14:30:13

KIS

显示全部楼层 · 发表于 2016-3-4 14:39:24

黑寡妇解压杀

显示全部楼层 · 发表于 2016-3-4 14:45:58

还新家族咧，咖啡早已严格分类

3/4/2016 1:45:06 AM "D:\Virus\a5ff5f861bbb1ac7c6fd44f303f735fac01273ce2ae43a8acb683076192fcfcc.exe" "Ransomware-FFK!2F7059D7B1DD" "2"

3/4/2016 1:45:06 AM "D:\Virus\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe" "Ransom-Tescrypt!F5146A3BBE6C" "2"

显示全部楼层 · 发表于 2016-3-4 15:58:10

显示全部楼层 · 发表于 2016-3-4 18:05:18

MXCERILYF! 发表于 2016-3-4 12:55
Norton

NS25.5.5.15虚拟机里3月1号的库断网双击被重启到安全模式里删掉主程序了

显示全部楼层 · 发表于 2016-3-4 18:32:34

修改文件名灭活后解压 ESS删除
改名灭活主要是防止手贱运行了，昨天就吃亏了

[mw_shl_code=css,true]时间;扫描程序;对象类型;对象;威胁;操作;用户;信息;哈希
2016/3/4 18:29:43;文件系统实时防护;文件;C:\Users\Kanade-Aria\Desktop\6.exe.vir;Win32/Filecoder.Cerber.A 特洛伊木马;通过删除清除;Kanade-PC\Kanade-Aria;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1CC7598B109722065E53A80FC5B5CC57BADE7290).;920BA9C21B519AD7DFB9075C3860D85061CEDE15
2016/3/4 18:29:43;文件系统实时防护;文件;C:\Users\Kanade-Aria\Desktop\c.exe.vir;Win32/Filecoder.Cerber.A 特洛伊木马;通过删除清除;Kanade-PC\Kanade-Aria;在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (1CC7598B109722065E53A80FC5B5CC57BADE7290).;0AF6BDE11EAA699604AA92CCE9A6210DFCE70F42
[/mw_shl_code]

显示全部楼层 · 发表于 2016-3-4 18:44:34

第一个比较简单的动作。
2016-3-4 18:43:47 读文件风险级别:未知 (3) 阻止
进程: c:\documents and settings\administrator\桌面\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe
目标: \Device\NamedPipe\wkssvc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-4 18:43:48 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-4 18:43:48 修改注册表值风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\Administrator\Application Data
规则: [应用程序]* -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-3-4 18:43:48 读文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件组]Namedpipe -> [文件]\device\namedpipe\*

2016-3-4 18:43:48 创建文件风险级别:未知阻止
进程: c:\documents and settings\administrator\桌面\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe
目标: C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\asr_ldm.lnk
规则: [应用程序]?* -> [文件组]拦截_自启动目录

2016-3-4 18:43:48 修改注册表值风险级别:未知阻止并结束进程
进程: c:\documents and settings\administrator\桌面\2d08ffeba708fb833404d2c320ea4f29365c791d504181e08e3e9b529f5cf096.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\asr_ldm
值: "C:\Documents and Settings\Administrator\Application Data\{2902AD56-DE52-3106-995F-B8C8B0276EEF}\asr_ldm.exe"
规则: [应用程序]*\*document* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

显示全部楼层 · 发表于 2016-3-4 19:06:18

轩夏发表于 2016-3-4 13:51
微软过

windows defender没查出来？

[病毒样本] 勒索软件家族新成员——Cerber ransomware 2X

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分