勒索软件家族新成员——Pizzacrypts / 新闻：CryptXXX 升级了，但无样本

显示全部楼层 · 发表于 2016-7-8 09:37:11

腾讯管家扫描不报
重新打包上传并下载（不加密码），下载保护报毒（腾讯云引擎）

显示全部楼层 · 发表于 2016-7-8 09:41:37

ess9

显示全部楼层 · 发表于 2016-7-8 09:59:22

火绒

显示全部楼层 · 发表于 2016-7-8 10:03:14

XZ8SM7Sx0bVkoUV 发表于 2016-7-8 09:59
火绒

层主有没有双击条件？你看360都成功拦截了。。。

显示全部楼层 · 发表于 2016-7-8 10:14:47

虽然杀了，这么好的样本，怎么能不玩玩呢

文件防护已关

显示全部楼层 · 发表于 2016-7-8 10:18:54

windows7爱好者发表于 2016-7-8 10:14
虽然杀了，这么好的样本，怎么能不玩玩呢
文件防护已关

我发完贴后33分钟，BD才入库可杀。。。Emsisoft跟的够紧

显示全部楼层 · 发表于 2016-7-8 10:27:15

病毒作者是罗马尼亚？！

2016/7/8 09:20:56 修改文件允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: G:\Download\Pizzacrypts\Pizzacrypts.exe
规则: [应用程序组]病毒测试 -> [文件组]所有执行文件 -> [文件]*; *.exe

2016/7/8 09:21:21 创建新进程允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: g:\download\pizzacrypts\pizzacrypts.exe
命令行: G:\Download\Pizzacrypts\Pizzacrypts.exe
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/7/8 09:22:06 创建注册表项允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\1
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:23:11 修改注册表值允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\KfjH1x6B3AcgWcCf
值: G:\Download\Pizzacrypts\Pizzacrypts.exe
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:25:56 修改注册表值允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS\Diag\SPP\SppGetSnapshots (Enter)
值: 40 00 00 00 00 00 00 00 6f a6 a7 97 b7 d8 d1 01 d8 0b 00 00 dc 0b 00 00 d2 07 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:26:38 创建注册表项允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Diag\VssapiPublisher
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:27:09 访问COM接口允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623} VSS.VSSCoordinator.1
规则: [应用程序组]病毒测试 -> [COM接口]*

2016/7/8 09:27:51 加载动态链接库允许
进程: c:\windows\system32\vssvc.exe
目标: c:\windows\system32\sechost.dll
规则: [应用程序]*

2016/7/8 09:28:15 结束其他进程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\vssvc.exe
规则: [应用程序]c:\windows\system32\services.exe

2016/7/8 09:28:37 加载动态链接库允许
进程: c:\windows\system32\vssvc.exe
目标: c:\windows\system32\samcli.dll
规则: [应用程序组]病毒测试 -> [动态链接库]c:\windows\system32\sam*.dll

2016/7/8 09:29:05 加载动态链接库允许
进程: c:\windows\system32\vssvc.exe
目标: c:\windows\system32\samlib.dll
规则: [应用程序组]病毒测试 -> [动态链接库]c:\windows\system32\sam*.dll

2016/7/8 09:29:22 创建注册表项允许
进程: c:\windows\system32\vssvc.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5}
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:29:34 访问COM接口允许
进程: c:\windows\system32\vssvc.exe
目标: {65EE1DBA-8FF4-4A58-AC1C-3470EE2F376A} VSSoftwareProvider Class
规则: [应用程序组]病毒测试 -> [COM接口]*

2016/7/8 09:29:41 创建注册表项允许
进程: c:\windows\system32\vssvc.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Diag\Registry Writer
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:30:07 修改注册表值允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS\Diag\SPP\SppEnumGroups (Enter)
值: 40 00 00 00 00 00 00 00 3f 9f fe 39 b8 d8 d1 01 d8 0b 00 00 dc 0b 00 00 d1 07 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:30:17 创建注册表项允许
进程: c:\windows\system32\vssvc.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Diag\COM+ REGDB Writer
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:30:26 修改注册表值允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VSS\Diag\SPP\SppEnumGroups (Leave)
值: 40 00 00 00 00 00 00 00 59 aa 80 42 b8 d8 d1 01 d8 0b 00 00 dc 0b 00 00 d1 07 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:30:31 创建注册表项允许
进程: c:\windows\system32\vssvc.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS\Diag\ASR Writer
规则: [应用程序组]病毒测试 -> [注册表]*

2016/7/8 09:33:31 修改其他进程的线程允许
进程: c:\windows\system32\services.exe
目标: g:\download\pizzacrypts\pizzacrypts.exe
规则: [应用程序]c:\windows\system32\services.exe

2016/7/8 09:33:45 访问网络允许
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: TCP [本机 : 49169] -> [93.115.38.30 : 80 (http)]
规则: [应用程序组]病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2016/7/8 09:37:08 修改文件阻止
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: D:\VFP\class\my_moban.VCT
规则: [应用程序组]病毒测试 -> [应用程序]g:\download\pizzacrypts\pizzacrypts.exe -> [文件]d:\vfp\class; my_moban.vct

2016/7/8 09:37:32 修改文件阻止
进程: g:\download\pizzacrypts\pizzacrypts.exe
目标: D:\VFP\class\my_moban.vcx
规则: [应用程序组]病毒测试 -> [应用程序]g:\download\pizzacrypts\pizzacrypts.exe -> [文件]d:\vfp\class; my_moban.vcx

显示全部楼层 · 发表于 2016-7-8 10:33:53

windows7爱好者发表于 2016-7-8 10:14
虽然杀了，这么好的样本，怎么能不玩玩呢
文件防护已关

这步估计拦截的是给自身提权，你放过这步看下

显示全部楼层 · 发表于 2016-7-8 10:36:41

avast

显示全部楼层 · 发表于 2016-7-8 10:38:10

C:\Users\User\Desktop\Pizzacrypts.exe
[DETECTION] Is the TR/Crypt.Xpack.krkl Trojan

Avira

[其他相关] 勒索软件家族新成员——Pizzacrypts / 新闻：CryptXXX 升级了，但无样本

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源