黑客大大更新了，网马第三弹

shx001

这是黑客失业的节奏
都是杀软阵营中的战斗机，战斗机中的战斗机，我看得一头雾水，五体投地，滔滔江水......

ELOHIM

kxmp 发表于 2016-11-1 21:42
crdf统计 昨天symantec 0分 一个都没杀出来

CRDF是什么呀

蓝核

奇怪了 第八页有个sonar杀掉的病毒定义 是ns干还是病毒库整合了%……

kxmp

ELOHIM 发表于 2016-11-1 22:13
CRDF是什么呀

google里面有

hup

kill

linzh

来个卡巴双击照样杀  

win10杀不杀我就不知道了 希望有人能测一测
这次很特别啊，等了近一分钟卡巴才发现有恶意程序，阻止的，不过并没有肉眼可见的加密 而且这次也没有回滚

附日志
[mw_shl_code=css,true]01.11.2016 15.53.59        恶意程序已删除        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\rad05C51.tmp\rad05C51.tmp.exe        应用程序路径: c:\users\linzh\desktop\rad05c51.tmp\rad05c51.tmp.exe        时间: 2016/11/1 15:53
01.11.2016 15.53.45        恶意程序已终止        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\rad05C51.tmp\rad05C51.tmp.exe        应用程序路径: C:\Users\linzh\Desktop\rad05C51.tmp\rad05C51.tmp.exe        时间: 2016/11/1 15:53
01.11.2016 15.53.45        检测到恶意程序        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\rad05C51.tmp\rad05C51.tmp.exe        应用程序路径: c:\users\linzh\desktop\rad05c51.tmp\rad05c51.tmp.exe        时间: 2016/11/1 15:53
01.11.2016 15.52.52        应用程序已添加至组受信任组        WMI Commandline Utility        应用程序: WMI Commandline Utility        原因: 数字签名分析        应用程序路径: C:\Windows\System32\wbem\WMIC.exe        时间: 2016/11/1 15:52
01.11.2016 15.52.30        应用程序已添加至组低限制组        C:\Users\linzh\Desktop\rad05C51.tmp\rad05C51.tmp.exe        应用程序: C:\Users\linzh\Desktop\rad05C51.tmp\rad05C51.tmp.exe        原因: 根据计算评级        应用程序路径: C:\Users\linzh\Desktop\rad05C51.tmp\rad05C51.tmp.exe        时间: 2016/11/1 15:52
[/mw_shl_code]

linzh

抱歉连贴
等等等等等等等等等等等等等等等等！
这个勒索过蜘蛛了卧槽 文件全部被加密

蜘蛛发呆ing

还有很温馨的中文提示


原文：感觉不像机翻啊
[mw_shl_code=css,true]您找不到所需的文件？
您文件的内容无法阅读？

这是正常的，因为您文件的文件名和数据已经被“Cerber Ransomware”加密了。

这意味着您的文件并没有损坏！您的文件只是被修改了，这个修改是可逆的，解密之前您无法使用您的文件。

安全解密您文件的唯一方式是购买特别的解密软件“Cerber Decryptor”。

任何使用第三方软件恢复您文件的方式对您的文件来说都将是致命的！


--------------------------------------------------------------------------------

您可以在您的个人页面上购买解密软件：

请稍候...http://vyohacxzoue32vvk.z5xfkc.top/E0B6-24A2-6A6D-008C-12CF[url]http://vyohacxzoue32vvk.668eub.top/E0B6-24A2-6A6D-008C-12CFhttp://vyohacxzoue32vvk.onion.to/E0B6-24A2-6A6D-008C-12CF[/url]
如果这个页面无法打开，请 点击这里 生成您个人页面的新地址。

您将在这个页面上看到如何购买解密软件以恢复您的文件。

您可以在这个页面使用“Cerber Decryptor”免费恢复任何文件。


--------------------------------------------------------------------------------

如果您的个人页面长期不可用，有其他方法可以打开您的个人页面 - 安装并使用 Tor 浏览器：

使用您的上网浏览器（如果您不知道使用 Internet Explorer 的话）；
在浏览器的地址栏输入或复制地址 https://www.torproject.org/download/download-easy.html.en 并按 ENTER 键；
等待站点加载；
您将在站点上下载 Tor 浏览器；下载并运行它，按照安装指南进行操作，等待直至安装完成；
运行 Tor 浏览器；
使用“Connect”按钮进行连接（如果您使用英文版）；
初始化之后将打开正常的上网浏览器窗口；
在浏览器地址栏中输入或复制地址
http://vyohacxzoue32vvk.onion/E0B6-24A2-6A6D-008C-12CF

按 ENTER 键；
该站点将加载；如果由于某些原因等待一会儿后没有加载，请重试。
如果在安装期间或使用 Tor 浏览器期间有任何问题，请访问 https://www.baidu.com 并在搜索栏中输入“怎么安装 Tor 浏览器”，您将找到有关如何安装洋葱 Tor 浏览器的说明和教程。


--------------------------------------------------------------------------------

附加信息：

您将在任何带有加密文件的文件夹中找到恢复您文件(“*.hta”)的说明。

带有加密文件的文件夹中的(“*.hta”)说明不是病毒，(“*.hta”)说明将帮助您解密您的文件。

请记住，最坏的情况都发生过了，您的文件还能不能用取决于您的决定和反应速度。[/mw_shl_code]

linzh

驭龙 发表于 2016-11-1 18:09
果然，黑寡妇DPD杀，文件没有被加密，图片正常，DPH都没有出手呢

为啥你的蜘蛛杀了 最近好多奇怪事，先是pal家族的卡巴中了勒索我这里两个卡巴都拦截了，这次我这里蜘蛛又miss了
这是我恢复快照重新测的。。。和上面那个并不一样（其实是因为我以为能拦截就懒得截图了 ）毒库版本：系统：win7 sp1 原版无更新

双击UAC

查看设置：

再次中招，文件被加密

驭龙

ELOHIM 发表于 2016-11-1 19:36
好的。
这个 Behavior Severe Level 算启发吗？

正统的行为分析防御

驭龙

linzh 发表于 2016-11-2 04:41
为啥你的蜘蛛杀了 最近好多奇怪事，先是pal家族的卡巴中了勒索我这里两个卡巴都拦截了，这次我这 ...

你的特征库过期了，影响双击效果，因为这个是DPD杀