勒索软件家族新成员HDDCryptor：让我给你的系统洗洗澡

230f4

欢迎双击党、扫描党来战

解压密码infected

@双击敢死队

电脑发烧友

正确运行方式：

1.把第一个样本更名为dccon.exe
2.用命令行运行（在dccon.exe所在目录新建一个txt，输入后面的命令，另存为bat运行即可）：dccon.exe -info pt0   （win7及以上系统请以管理员身份运行）

释放一大堆衍生物

写服务项

在drivers目录释放自己的驱动




衍生物


样本调用命令行

C:\Windows\system32\cmd.exe /c schtasks /delete /TN DefragmentService /F'C:\Windows\system32\cmd.exe /c C:\DC22\netpass.exe  /stab C:\DC22\netpass.txt

fireherman

---

ESET-NOD32 ess 8 [v14215/20161003]

请机器人你发点力，我不想再被打击了。

---

解压 kill，完成任务。

别叫我家ESET关闭监控双击，我家ESET只穿着条Speedo，手里只有一把青铜剑；不像卡巴、BD、铁壳那些草蛋，全身套上重型铠甲，手持AK47……




[mw_shl_code=css,true]2016-10-3 8:23:10        文件系统实时防护        文件        E:\VirZ\HDDCryptor 3.exe        Win32/Filecoder.DCryptor.B 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        4080BB3A28C2946FD9B72F6B51FE15DE74CBB1E1        2016-10-3 8:23:09
2016-10-3 8:23:09        文件系统实时防护        文件        E:\VirZ\HDDCryptor 2.exe        Win32/Filecoder.DCryptor.B 特洛伊木马        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        719C3B897826169190FFCAF8EC111E78ACD1613E        2016-10-3 8:23:09
2016-10-3 8:23:09        文件系统实时防护        文件        E:\VirZ\HDDCryptor 1.exe        Win32/Injector.TLD 特洛伊木马 的变种        通过删除清除        RAYMOND-9B1A7AC\Raymond        在应用程序新建的文件上发生事件: C:\Program Files\7-Zip\7zG.exe (95CE9136E708712C2A29EE18BE48DD028018B558).        6A5250A24439CB760E91C228B56D991A717E556A        2016-10-3 8:23:04[/mw_shl_code]

---

schumi小粉

大BD的基因

vm001

360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2016-10-03 08:45:26     木马程序(Trojan.Generic)MD5:a50325553a761d73ed765e326a1733a3              已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\users\admin\desktop\hddcryptor\hddcryptor 1.exe
2016-10-03 08:45:26     感染型病毒(Win32/Trojan.144)MD5:e0358edb797489ffc585e8f517b30f1c           已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\users\admin\desktop\hddcryptor\hddcryptor 2.exe
2016-10-03 08:45:26     感染型病毒(Win32/Trojan.144)MD5:409d80bb94645fbc4a1fa61c07806883           已删除此文件，如果您发现误删，可从隔离区恢复此文件。        c:\users\admin\desktop\hddcryptor\hddcryptor 3.exe

pal家族

卡巴全杀

QQ1014530747

nis杀了但是无法测试主房

DR1716830471

诺顿解压：

驭龙

文件监控全杀。


关闭文件监控双击，没有报。

重启动系统正常，关闭文件监控的情况下，两个样本被干掉了

230f4

电脑发烧友 发表于 2016-10-3 08:16
在虚拟机内黑色窗口一闪而过，然后进程就没了，然后我什么都不知道，应该反虚拟机。本机正在裸奔，就不测试 ...

把HDDCryptor 1.exe改名为152.exe，再以下面的命令运行看看：

152.exe -p 123456