黑客大大更新了，网马第三弹

ELOHIM

驭龙 发表于 2016-11-1 18:46
刚刚测试楼主的另一个样本，目测也会是Behavior Severe Level杀，等一会儿才能完成

好的。
这个 Behavior Severe Level 算启发吗？

windows7爱好者

ELOHIM 发表于 2016-11-1 19:36
好的。
这个 Behavior Severe Level 算启发吗？

这个应该是行为防护吧
也就是主防

ELOHIM

windows7爱好者 发表于 2016-11-1 19:37
这个应该是行为防护吧
也就是主防

Behavior Severe Level

字面理解的话应该如你所说。

但是微软不写出来 。。。。。

病毒百科查无此项。

————————————————————————

编辑一下，说错了。
微软有相关定义：https://www.microsoft.com/securi ... :Win32/Cerber.gen!A



First published: May 12, 2016

Latest published: 没有。

也就是说：May 12, 2016 才加入这个功能？？？

windows7爱好者

ELOHIM 发表于 2016-11-1 19:41
Behavior Severe Level

字面理解的话应该如你所说。

其实我就是按字面意思理解的

ELOHIM

windows7爱好者 发表于 2016-11-1 19:47
其实我就是按字面意思理解的

Windows Defender检测并删除这种威胁。

此勒索能阻止您使用您的 PC 或访问您的数据。

它是勒索，和通过电子邮件、 漏洞-套件和其他驱动器由下载传播勒索作为服务类别的成员。截至 9 月，到 2016 年，我们目睹了这一威胁使用Exploit:HTML/Pangimop （大小） 和钻机利用其在亚洲地区 （台湾和韩国） 运动中的包。我们还看到它在包含基于脚本的下载工具，例如那些写在 javascript (.js)、 办公室 VBA （如.doc 和.rtf 的 Word 文档） 和 Windows 脚本文件 (.wsf) 的电子邮件附件分发。截至 2016 年 10 月，我们已经看到抢注行为之交付通过密码保护的电子邮件附件，以及其他威胁。

抢注行为之加密文件使用 RSA 和 RC4 算法，并使用以下加密的文件扩展名︰

• .cerber
• .cerber2
• .cerber3
  

它可能会问你对恶意黑客付钱 （在比特币的形式）。它可以播放文本到语音转换或合成的纪录，显示 web 页或纯文本文档。

找出方法，恶意软件可以在您的 PC.  

你可以阅读更多关于我们勒索页.

MMPC之 Win32/Cerber 家族：

http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Win32/Cerber

Virus4

ELOHIM 发表于 2016-11-1 19:51
MMPC之 Win32/Cerber 家族：

http://www.microsoft.com/security/portal/threat/Encyclopedia ...

应该是行为防御。。

运行到勒索的那一步（我在UAC点了是以后）

才报的毒

ELOHIM

Virus4 发表于 2016-11-1 19:53
应该是行为防御。。

运行到勒索的那一步（我在UAC点了是以后）

还有UAC弹窗这个病毒。。

很多不鸟UAC的。
windows smartscreen 有反应米？？

Virus4

ELOHIM 发表于 2016-11-1 19:56
还有UAC弹窗这个病毒。。

很多不鸟UAC的。

有一个CMD运行的UAC，那个以后勒索就开始加密文件了应该

倒是有一个问我以后提示的设置。遇到可疑文件提示还是啥都不提示。

算是有参与吧？不太清楚。没有直白的具体弹窗。

ELOHIM

Virus4 发表于 2016-11-1 20:03
有一个CMD运行的UAC，那个以后勒索就开始加密文件了应该

倒是有一个问我以后提示的设置。遇到可疑文件 ...

步步截图就好了。还是别双击了。
有联网行为吧。。换个IP改个路由密码先。

windows7爱好者

Virus4 发表于 2016-11-1 20:03
有一个CMD运行的UAC，那个以后勒索就开始加密文件了应该

倒是有一个问我以后提示的设置。遇到可疑文件 ...

CMD的弹窗是删除卷影备份，完了之后就开始加密
第二个没有关系