勒索软件家族成员中的中国面孔——Cute Ransomware

显示全部楼层 · 发表于 2016-8-4 19:45:24

欧阳宣发表于 2016-8-4 19:15
有吗？……

我记得是有的

显示全部楼层 · 发表于 2016-8-4 21:26:47

本帖最后由 popu111 于 2016-8-9 17:03 编辑

KSN: 这样本我早就收了

@230f4

不是双击，自动实时扫描就杀了

显示全部楼层 · 发表于 2016-8-7 13:28:27

本帖最后由 aboringman 于 2016-8-7 13:42 编辑

我来赴约了

AVG：

扫描：killed；

"";"Trojan horse MSIL10.ABPJ, C:\Users\Killer\Desktop\Cute Ransomware.exe";"Unresolved"

双击：关闭监控，实机双击，IDP击杀之。

"";"IDP.Program.D1B0A5C0, C:\Users\Killer\Desktop\Cute Ransomware.exe";"Deleted, Moved to Virus Vault";"File or Directory";"2016/8/7, 13:30:59"

"";", C:\Users\Killer\Desktop\Cute Ransomware.exe";"Object was blocked";"Process";"2016/8/7, 13:30:59"

至于ESET，就没那么幸运了。。。。。。

显示全部楼层 · 发表于 2016-8-8 02:04:50

本帖最后由 lovelive10010 于 2016-8-8 02:06 编辑

威胁名称: Ransom_CRYPCUTE.B
类型: 威胁
受感染文件: C:\Users\张家…\Cute Ransomware.exe
处理措施: 已移除
检测方式: 实时扫描

显示全部楼层 · 发表于 2016-8-8 10:40:56

windows7爱好者发表于 2016-8-4 19:45
我记得是有的

趋势的设置里面有一个“备份由可疑程序加密或修改的文档”这样的一个开关。这个应该就是属于防勒索的功能了吧。

不过好像备份过程是用户不需要干涉的，应该是在阻止勒索软件之后会自动进行恢复。

不过我并没有试过。

显示全部楼层 · 发表于 2016-8-8 12:40:50

2016-8-8 12:36:54 创建新进程允许
进程: c:\windows\explorer.exe
目标: f:\virustest\cute ransomware\cute ransomware.exe
命令行: "F:\virustest\Cute Ransomware\Cute Ransomware.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]?:\*.*

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\mscoree.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\microsoft.net\framework\v4.0.30319\mscoreei.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\lpk.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorwks.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\winsxs\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\msvcr80.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:54 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:58 修改注册表值阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData
值: C:\Documents and Settings\TerryTian\Application Data
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-8-8 12:36:58 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\assembly\nativeimages_v2.0.50727_32\mscorlib\e13cbeecabc446469329638349e0be26\mscorlib.ni.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:58 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\uxtheme.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:58 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\msctf.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:59 修改注册表值阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\TerryTian\Local Settings\Temporary Internet Files
规则: [应用程序组]● 行为测试规则 -> [注册表组]◆ 系统相关设置（阻止） -> [注册表]*\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*

2016-8-8 12:36:59 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\mscorjit.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:59 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\assembly\nativeimages_v2.0.50727_32\system\1d7ec6b4924e014ea5e8d01737ff9872\system.ni.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:59 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\xpsp2res.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:59 修改文件阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-8 12:36:59 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\rsaenh.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:36:59 修改文件阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-8 12:36:59 修改文件阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [应用程序组]● 行为测试规则 -> [文件组]◆ 系统目录保护（阻止） -> [文件]c:\windows\*

2016-8-8 12:36:59 修改文件阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-8 12:36:59 修改文件阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [应用程序组]● 行为测试规则 -> [文件组]◆ 系统目录保护（阻止） -> [文件]c:\windows\*

2016-8-8 12:36:59 修改文件阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有命名管道 -> [文件]\device\namedpipe\*

2016-8-8 12:36:59 修改文件阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [应用程序组]● 行为测试规则 -> [文件组]◆ 系统目录保护（阻止） -> [文件]c:\windows\*

2016-8-8 12:37:35 创建文件 (7) 阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: C:\Documents and Settings\TerryTian\Application Data\Microsoft\Crypto\RSA\S-1-5-21-1482476501-706699826-1644491937-1003\5b14e96a0859bb779b6920df804b7e9d_682cb695-78c6-488e-a396-55170dfb16c3
规则: [应用程序组]● 行为测试规则 -> [文件组]# 所有文件保护 -> [文件]?:\*

2016-8-8 12:37:35 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\apphelp.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:38:10 创建新进程阻止
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\program files\common files\microsoft shared\dw\dw20.exe
命令行: dw20.exe -x -s 420
规则: [应用程序组]● 行为测试规则

2016-8-8 12:38:11 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\culture.dll
规则: [应用程序组]● 行为测试规则

2016-8-8 12:38:11 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\system32\msctfime.ime
规则: [应用程序组]● 行为测试规则

2016-8-8 12:38:17 加载动态链接库允许
进程: f:\virustest\cute ransomware\cute ransomware.exe
目标: c:\windows\microsoft.net\framework\v2.0.50727\diasymreader.dll
规则: [应用程序组]● 行为测试规则

显示全部楼层 · 发表于 2016-8-8 12:55:32

星云劫发表于 2016-8-8 10:40
趋势的设置里面有一个“备份由可疑程序加密或修改的文档”这样的一个开关。这个应该就是属于防勒索的功 ...

我也觉得是这样，可能勒索软件被阻止时，再备份一份，以防万一

显示全部楼层 · 发表于 2016-8-9 00:27:59

咖啡小云，双击瞬杀

[其他相关] 勒索软件家族成员中的中国面孔——Cute Ransomware

本帖子中包含更多资源

评分

评分

评分

本帖子中包含更多资源

浏览过的版块