（16.11.17）Ransom #2

显示全部楼层 · 发表于 2016-11-18 10:38:28

schumi小粉发表于 2016-11-17 16:26
您好，

此邮件由邮件响应系统自动生成，其中含有反病毒软件采用最新更新对相关文件（如邮件中包含此类 ...

都可以查杀了
1.exe
Trojan-Ransom.Win32.Shade.led
2.exe
Trojan-Ransom.Win32.Shade.leg

显示全部楼层 · 发表于 2016-11-18 10:54:08

540923555 发表于 2016-11-18 00:43
下午5点时候确实没入库，，当时虚拟机双击都没反应，半小时以后虚拟机里才报毒，随后实机右键扫描才有

原来你已经双击过了。。

显示全部楼层 · 发表于 2016-11-18 11:15:23

ELOHIM 发表于 2016-11-18 10:54
原来你已经双击过了。。

WD让我惊叹之处就是过了双击，居然都没加密文档。。。。而且这两个不包含反虚拟机功能的

显示全部楼层 · 发表于 2016-11-18 11:21:40

haoge250 发表于 2016-11-17 16:17
eset扫描MISS
双击1：

这是智能模式和自动模式下的反应吗？

显示全部楼层 · 发表于 2016-11-18 11:23:23

540923555 发表于 2016-11-18 11:15
WD让我惊叹之处就是过了双击，居然都没加密文档。。。。而且这两个不包含反虚拟机功能的

你可以做一下实验，把WD实时保护关掉，双击，看看这俩样本能不能加密呢？
还是说样本质量太低了？

显示全部楼层 · 发表于 2016-11-18 11:24:50

驭龙发表于 2016-11-17 18:23
嗯，应该是系统不同的问题吧，再观察几天看看吧

这个我敢肯定就是个系统有关比如我测试声纳WIN10下报法后辍是1 WIN7下是2 具体前辍名称忘记了

显示全部楼层 · 发表于 2016-11-18 11:26:24

杀软神马发表于 2016-11-18 11:24
这个我敢肯定就是个系统有关比如我测试声纳WIN10下报法后辍是1 WIN7下是2 具体前辍名称忘记了

所以说系统不同，策略也不一样，报法可能就不同了

显示全部楼层 · 发表于 2016-11-18 11:28:06

ELOHIM 发表于 2016-11-18 11:23
你可以做一下实验，把WD实时保护关掉，双击，看看这俩样本能不能加密呢？
还是说样本质量太低了？

网络不通畅的话，是不会加密的，因为连接不到威胁服务器

显示全部楼层 · 发表于 2016-11-18 11:30:01

驭龙发表于 2016-11-18 11:28
网络不通畅的话，是不会加密的，因为连接不到威胁服务器

嗯。。
如果通畅的话应该可以。
我现在没虚拟机，，测试不了。

显示全部楼层 · 发表于 2016-11-18 11:35:08

ELOHIM 发表于 2016-11-18 11:30
嗯。。
如果通畅的话应该可以。
我现在没虚拟机，，测试不了。

是的，有些样本需要XXX加持的网络测试，才能加密文件

[病毒样本] （16.11.17）Ransom #2