4个勒索

vm001

windows7爱好者 发表于 2016-10-5 23:00
资源管理器好像被注入了？

嗯

windows7爱好者

衍生物杀掉

windows7爱好者

vm001 发表于 2016-10-5 23:06
嗯

加密防住了就OK

vm001

windows7爱好者 发表于 2016-10-5 23:06
加密防住了就OK

explorer被注入后的行为就都不是白的了，所以这个蓝不拦截也就无可了

vm001

关闭火绒监控测试行为防御
第一个



第二个


第三个


第四个过

拦截上还是有缺点，需要在加密一两个文件以后才可以完全识别

windows7爱好者

vm001 发表于 2016-10-5 23:12
关闭火绒监控测试行为防御
第一个

第四个直接过吗

vm001

恢复虚拟机测试第四个
运行过程中360行为拦截直接报毒


点击清除以后病毒文件被删除，不过内存中还有病毒


这回彻底拦截

vm001

windows7爱好者 发表于 2016-10-5 23:16
第四个直接过吗

直接过

vm001

windows7爱好者 发表于 2016-10-5 23:06
加密防住了就OK

拦截加密的不是第二个
第二个事注入explorer之后，不断的写入启动项






如果样本直接用explorer去修改文档，搞不好360会拦截不到

左手

2016-10-5 23:38:05    创建文件 风险级别:未知    允许
进程: c:\documents and settings\administrator\桌面\2016-10-04-pseudodarkleech-rig-ek-payload-cerber.exe
目标: C:\Documents and Settings\Administrator\Application Data\Perl.dll
规则: [应用程序]?:\*\*\*\* -> [文件]c:\documents and settings\*\application data; *.dll

2016-10-5 23:38:05    加载动态链接库 风险级别:中    允许
进程: c:\documents and settings\administrator\桌面\2016-10-04-pseudodarkleech-rig-ek-payload-cerber.exe
目标: c:\documents and settings\administrator\application data\perl.dll
规则: [应用程序]?:\*\*\*\* -> [动态链接库]..\*

2016-10-5 23:38:19    创建新进程 风险级别:未知    允许
进程: c:\documents and settings\administrator\桌面\2016-10-04-pseudodarkleech-rig-ek-payload-cerber.exe
目标: c:\documents and settings\administrator\桌面\2016-10-04-pseudodarkleech-rig-ek-payload-cerber.exe
命令行: "C:\Documents and Settings\Administrator\桌面\2016-10-04-pseudoDarkleech-Rig-EK-payload-Cerber.exe"
规则: [应用程序]??* -> [子应用程序]*\桌面\*

2016-10-5 23:38:41    读文件夹 风险级别:低    阻止并结束进程
进程: c:\documents and settings\administrator\桌面\2016-10-04-pseudodarkleech-rig-ek-payload-cerber.exe
目标: C:\a
规则: [应用程序组]D+_Documents -> [应用程序]c:\documents and settings\*\* -> [文件组]终止_高优先 -> [文件]?:\; ?