2016-09-30 - PSEUDO-DARKLEECH RIG EK FROM 51.255.213.167 SENDS CRYPMIC RANSOM...

heishen2010

2016-09-30 - PSEUDO-DARKLEECH RIG EK FROM 51.255.213.167 SENDS CRYPMIC RANSOMWARE

Eset小粉絲

Brad大的样本必测，，，

Avira
The pattern of 'TR/Crypt.ZPACK.pzcfa [trojan]'
detected in file 'C:\Users\User\Downloads\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe.

欧阳宣

mcafee miss

vm001

swf文件地址失效了？


有个工具。。不错


exede 360qvm报毒拦截


免杀云qvm后测试行为（因为360拦截勒索需要引擎的参与行为侦测所以不能删除引擎来测试了）。。。完美拦截

linzh

诺顿杀
关掉下载防护，右击扫描诺顿不报毒，实机沙盘双击
还好没漏沙，不然死定了。。电脑里还是有重要文件的。。讲真诺顿的防勒索真的不行，就阻止病毒联网
双击后：内存飙升26%飙到80%【电脑13g内存】沙箱警报，果断强行关了
cpu低负载，没有明显占用
以前BD的ATC从来没漏过这类勒索。。第一次看到
沙箱里面已经出现勒索文件
这货好像会检测虚拟机？沙盘里一看把我的虚拟机给拖进来了。。
不多说了，看图咯
国庆节快乐! 送大家一副壁纸

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?
So , there are two ways you can choose: wait for a _miracle_ and get _your_ PRICE DOUBLED! Or start obtaining *BITCOIN NOW! , and restore _YOUR_ _DATA_ easy way
If You have really valuable _DATA_, you better _NOT_ _WASTE_ _YOUR_ _TIME_, because there is _NO_ other way to get your files, except make a _PAYMENT_


Your personal ID: 3A4E79F3:4818D9B1:E6A721A2:66090701     

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

1 - http://xijymvzq4zkyubfe.onion.to
2 - http://xijymvzq4zkyubfe.onion.city

If for some reasons the addresses are not availablweropie, follow these steps:

1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
3 - After a successful installation, run the browser
4 - Type in the address bar: http://xijymvzq4zkyubfe.onion
5 - Follow the instructions on the site

vm001

exe火绒扫描不杀


双击运行exe。。火绒动态行为防御完美拦截

fireherman

ESET-NOD32 ess 8

右键扫描 miss

---

双击运行exe，并等待大概5秒钟……

下载的病毒文件被删（kill） ，且触发（ESET的）HIPS规则，选择【阻止】。

（它下载所选的目录是随机的？居然下载到 E:\arswp3\ ）

（这家后好阴险，居然想删除ESET的配置文件（用户自己备份的文件））



[mw_shl_code=css,true]2016-10-1 7:05:34        文件系统实时防护        文件        E:\arswp3\README.html        Win32/Filecoder.NHJ.Gen 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).        55AF199EBAE4CD9A3B34FF957BBFE3BFCFE39F9C        2016-10-1 7:05:34
2016-10-1 7:05:34        文件系统实时防护        文件        E:\arswp3\skin\README.html        Win32/Filecoder.NHJ.Gen 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).        55AF199EBAE4CD9A3B34FF957BBFE3BFCFE39F9C        2016-10-1 7:05:34
2016-10-1 7:05:33        文件系统实时防护        文件        E:\arswp3\skin\AtpGreen\README.html        Win32/Filecoder.NHJ.Gen 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).        55AF199EBAE4CD9A3B34FF957BBFE3BFCFE39F9C        2016-10-1 7:05:33
2016-10-1 7:05:32        文件系统实时防护        文件        E:\arswp3\skin\ArSwp2\README.html        Win32/Filecoder.NHJ.Gen 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).        55AF199EBAE4CD9A3B34FF957BBFE3BFCFE39F9C        2016-10-1 7:05:32
2016-10-1 7:05:32        文件系统实时防护        文件        E:\arswp3\sig\README.html        Win32/Filecoder.NHJ.Gen 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).        55AF199EBAE4CD9A3B34FF957BBFE3BFCFE39F9C        2016-10-1 7:05:32
2016-10-1 7:05:26        文件系统实时防护        文件        E:\arswp3\lang\README.html        Win32/Filecoder.NHJ.Gen 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).        55AF199EBAE4CD9A3B34FF957BBFE3BFCFE39F9C        2016-10-1 7:05:26
2016-10-1 7:05:25        文件系统实时防护        文件        C:\DOCUME~1\Raymond\LOCALS~1\Temp\README.HTML        Win32/Filecoder.NHJ.Gen 特洛伊木马        已删除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-sends-CrypMIC-malware-and-artifacts\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).        55AF199EBAE4CD9A3B34FF957BBFE3BFCFE39F9C        2016-10-1 7:05:25[/mw_shl_code]

---

勒索信生成，但文件没被加密。

vm001

fireherman 发表于 2016-10-1 07:15
ESET-NOD32 ess 8

右键扫描 miss

测试勒索，得给他创建一个真实的环境。。。比如桌面上放几个文档压缩包和图片之类，然后在某个文件夹下放上几个压缩包，图片文档之类。。要不你看不到什么效果

fireherman

vm001 发表于 2016-10-1 07:35
测试勒索，得给他创建一个真实的环境。。。比如桌面上放几个文档压缩包和图片之类，然后在某个文件夹下放 ...

嗯，我疏忽了，谢谢提醒，再来一次。

蓝天二号

AVG  干掉了 .swf，，，exe 没反应