2016-09-30 - PSEUDO-DARKLEECH RIG EK FROM 51.255.213.167 SENDS CRYPMIC RANSOM...

显示全部楼层 · 发表于 2016-10-1 08:02:37

再来一次，这次【防火墙】开【交互模式】，记录一下它的IP地址。

勒索信还是生成了，不过文件没被加密。

1，双击EXE后，防火墙放行【允许通信】

[mw_shl_code=css,true]2016-10-1 7:49:21       规则允许的通信       0.0.0.0:1256       162.244.35.19:443       TCP       允许PayLoad通信       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       RAYMOND-9B1A7AC\Raymond
2016-10-1 7:47:43       规则允许的通信       0.0.0.0:1254       162.244.35.19:443       TCP       允许PayLoad通信       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       RAYMOND-9B1A7AC\Raymond
2016-10-1 7:47:42       规则允许的通信       0.0.0.0:1252       162.244.35.19:443       TCP       允许PayLoad通信       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       RAYMOND-9B1A7AC\Raymond
2016-10-1 7:47:41       规则允许的通信       0.0.0.0:1250       162.244.35.19:443       TCP       允许PayLoad通信       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       RAYMOND-9B1A7AC\Raymond[/mw_shl_code]

2，下载勒索程序（ESET kill）

[mw_shl_code=css,true]2016-10-1 7:47:54       文件系统实时防护       文件       E:\arswp3\README.html       Win32/Filecoder.NHJ.Gen 特洛伊木马       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).       AED4D7F28317559C1C6A9A070688BAD46D26A0F1       2016-10-1 7:47:54
2016-10-1 7:47:54       文件系统实时防护       文件       E:\arswp3\skin\README.html       Win32/Filecoder.NHJ.Gen 特洛伊木马       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).       AED4D7F28317559C1C6A9A070688BAD46D26A0F1       2016-10-1 7:47:53
2016-10-1 7:47:53       文件系统实时防护       文件       E:\arswp3\skin\AtpGreen\README.html       Win32/Filecoder.NHJ.Gen 特洛伊木马       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).       AED4D7F28317559C1C6A9A070688BAD46D26A0F1       2016-10-1 7:47:53
2016-10-1 7:47:52       文件系统实时防护       文件       E:\arswp3\skin\ArSwp2\README.html       Win32/Filecoder.NHJ.Gen 特洛伊木马       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).       AED4D7F28317559C1C6A9A070688BAD46D26A0F1       2016-10-1 7:47:52
2016-10-1 7:47:52       文件系统实时防护       文件       E:\arswp3\sig\README.html       Win32/Filecoder.NHJ.Gen 特洛伊木马       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).       AED4D7F28317559C1C6A9A070688BAD46D26A0F1       2016-10-1 7:47:51
2016-10-1 7:47:48       文件系统实时防护       文件       E:\arswp3\lang\README.html       Win32/Filecoder.NHJ.Gen 特洛伊木马       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).       AED4D7F28317559C1C6A9A070688BAD46D26A0F1       2016-10-1 7:47:47
2016-10-1 7:47:48       文件系统实时防护       文件       C:\DOCUME~1\Raymond\LOCALS~1\Temp\README.HTML       Win32/Filecoder.NHJ.Gen 特洛伊木马       已删除       RAYMOND-9B1A7AC\Raymond       在应用程序新建的文件上发生事件: E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe (BEBFF2850DAD06A48426E569F526F01DF6E024EB).       AED4D7F28317559C1C6A9A070688BAD46D26A0F1       2016-10-1 7:47:46[/mw_shl_code]

3，HIPS阻止

[mw_shl_code=css,true]2016-10-1 7:57:57       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\Documents and Settings\Raymond\桌面\README.bmp       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       写入到文件
2016-10-1 7:57:57       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\Documents and Settings\Raymond\桌面\README.bmp       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       删除文件,写入到文件
2016-10-1 7:57:57       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\Documents and Settings\Raymond\桌面\README.bmp       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       删除文件,写入到文件
2016-10-1 7:57:57       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\Documents and Settings\Raymond\桌面\README.txt       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       写入到文件
2016-10-1 7:57:57       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\Documents and Settings\Raymond\桌面\README.txt       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       删除文件,写入到文件
2016-10-1 7:57:57       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\Documents and Settings\Raymond\桌面\README.txt       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       删除文件,写入到文件
2016-10-1 7:57:52       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\DOCUME~1\Raymond\LOCALS~1\Temp\README.HTML       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       写入到文件
2016-10-1 7:57:52       E:\VirZ\2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       获取文件访问权       C:\DOCUME~1\Raymond\LOCALS~1\Temp\BBB.KEY       阻止一些访问       用户规则: 阻止 2016-09-30-pseudoDarkleech-Rig-EK-payload-CrypMIC.exe       写入到文件[/mw_shl_code]

4，勒索信，文件未加密

显示全部楼层 · 发表于 2016-10-1 08:17:53

linzh 发表于 2016-10-1 05:16
诺顿杀
关掉下载防护，右击扫描诺顿不报毒，实机沙盘双击
还好没漏沙，不然死定了。。电脑里还是 ...

SEP 14轻松防御，不但有ADVML.A杀，即使是双击主防也杀，IPS也拦截，三重防御。

另外SONAR防御成功，没有任何文件被加密。

显示全部楼层 · 发表于 2016-10-1 08:54:00

本帖最后由 linzh 于 2016-10-1 08:57 编辑

驭龙发表于 2016-10-1 08:17
SEP 14轻松防御，不但有ADVML.A杀，即使是双击主防也杀，IPS也拦截，三重防御。

黑人问号ing

为什么我的没报？好神奇
为什么会这样？

显示全部楼层 · 发表于 2016-10-1 09:00:27

linzh 发表于 2016-10-1 08:54
黑人问号ing为什么我的没报？好神奇
为什么会这样？

只有最新SEP 14测试版才有ADVML.A报法，可我奇怪的是SONAR应该可以报啊，你那里为什么主防没有拦截？很奇怪啊

显示全部楼层 · 发表于 2016-10-1 09:03:00

本帖最后由挥泪斩情思于 2016-10-1 09:08 编辑

dr.web

显示全部楼层 · 发表于 2016-10-1 09:06:39

驭龙发表于 2016-10-1 09:00
只有最新SEP 14测试版才有ADVML.A报法，可我奇怪的是SONAR应该可以报啊，你那里为什么主防没有拦截？很奇 ...

我哪里知道

我不敢再跑一遍了

毕竟实机有重要文件。。等等我有时间的话用虚拟机试一下吧

显示全部楼层 · 发表于 2016-10-1 09:08:11

linzh 发表于 2016-10-1 09:06
我哪里知道我不敢再跑一遍了毕竟实机有重要文件。。等等我有时间的话用虚拟机试一下吧

这个我也不清楚了，不过还是不要实机玩毒了，是吧

显示全部楼层 · 发表于 2016-10-1 09:12:54

BD 扫描Miss

双击ATC杀，没有文档被加密。

显示全部楼层 · 发表于 2016-10-1 09:28:29

驭龙发表于 2016-10-1 09:08
这个我也不清楚了，不过还是不要实机玩毒了，是吧

咳咳等等，貌似诺顿无法检测沙箱里的东西？
你看，沙箱里面的东西已经被加密
图片已经无法打开了

显示全部楼层 · 发表于 2016-10-1 09:31:25

linzh 发表于 2016-10-1 09:28
咳咳等等，貌似诺顿无法检测沙箱里的东西？
你看，沙箱里面的东西已经被加密
图片已经无法打开了

那有可能是跟沙箱有兼容性问题，所以才没有杀？双击还是虚拟机玩吧

[病毒样本] 2016-09-30 - PSEUDO-DARKLEECH RIG EK FROM 51.255.213.167 SENDS CRYPMIC RANSOM...

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源