带有Ramnit，Parite感染的MBR敲竹杠，这酸爽难以置信，同样实机运行警告！

zhou0197

样本：http://pan.baidu.com/s/1sl01Ldr

解压密码：infected

目前其中3个文件有毒：

cheatengine：主要功能为篡改MBR，破坏分区表达到锁机目的…………

防追封：自身似乎就是释放个bat清理垃圾，但是自身被ramnit感染，有活性…………

防追封srv：似乎是ramnit的母体，同时被Parite感染，和上面的一样存在感染性………………



严禁实机运行！     严禁实机运行！     严禁实机运行！


严禁实机运行！     严禁实机运行！     严禁实机运行！


此外有无哪位大神可以研究下锁机的密码是否可能直接破解？还是根本就没有密码？？

深山红叶__

mima0410
还是红字绿密码，真不知道是抄哪个的。
程序运行后在%Temp%生成cheatengine-x86_64，调用cmd运行，然后在%Temp%释放0410.exe，0410.exe修改MBR。
0410运行后长时间反复对底层磁盘写操作。
最重要的是：密码正确后也无法正确引导系统。

pal家族

防追封和防追封srv确如你所说，不过，cheatengine真不知道~~~~

zhou0197

pal家族 发表于 2016-4-10 20:33
防追封和防追封srv确如你所说，不过，cheatengine真不知道~~~~

肯定不假，虚拟机一运行就发现diskgenius里面的分区全没了……

skyboybone

扫描党路过
金山2x

275751198

360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2016-04-10 20:39:31     恶意软件(HEUR/QVM05.1.5EE2.Malware.Gen)MD5:215c26d6cfe8d1d27ffc3f34b30acb1c已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\下载文件存储文件夹\123\新建文件夹\ce-10显示图标\ce-10显示图标\cheatengine-x86_64.exe
2016-04-10 20:39:27     恶意软件(Virus.Win32.Parite.H)MD5:aca5487a29ce8985398fc80fde1b5655        已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\下载文件存储文件夹\123\新建文件夹\ce-10显示图标\ce-10显示图标\防追封清理数据srv.exe
2016-04-10 20:39:26     恶意软件(Virus.Win32.Ramnit.B)MD5:f76d2940526af91b103c119dd5e15ecd        文件中感染的病毒代码已经清除，您可放心使用。                d:\下载文件存储文件夹\123\新建文件夹\ce-10显示图标\ce-10显示图标\防追封清理数据.exe

xyz0703

skyboybone

金山cheatengine双击

900703

OfficeScan  11說它能防住 等下用虛擬機試試

请叫我德玛西亚

900703 发表于 2016-4-10 21:24
OfficeScan  11說它能防住 等下用虛擬機試試

有趋势企业版key？  求pm玩玩  

900703

请叫我德玛西亚 发表于 2016-4-10 21:31
有趋势企业版key？  求pm玩玩

我買來玩的 我有用它的服務端設定反勒索 反可疑行為 反檔案加密 等下我去雙擊下