勒索病毒

230f4

windows7爱好者 发表于 2017-2-3 19:12
3楼

运行reloader.exe，bitdefender也可以拦截；但要是运行baiduyunSimple.exe，bitdefender就挂。

fireherman

B100D1E55 发表于 2017-2-2 22:10
估计是行为模式比新吧，如果ATC是那种前后关联打分的模型估计就囧了
顺带一提，我测的时候原地址已经 ...

拉黑还是有用的，MD5验证/URL拉黑，感觉就是粗暴但却高效。

fireherman

aphorism 发表于 2017-2-3 01:28
如何设置用FD规则保护备份的文档？

我没用火绒，但火绒好像有个帖子教程，你去看看。

清茗微漾

火绒/数字 下载报勒索。。 估计火绒已经入库了。

B100D1E55

popu111 发表于 2017-2-3 12:00
大哥在下没有针对性绕过，，，真的啥都没做，，，他就过了，，，过了，，，

很正常，不少杀软扫描或者智能主防其实挺弱智的……不过如果不刻意反sbie之类的话有心的人看到程序遍历文档估计也就知道是ransomware了。要是转成anomaly detection没刻意免杀应该是很容易被检出的（然而误报嘛……）

linzh

windows7爱好者 发表于 2017-2-3 19:12
3楼

这就。。尴尬了
什么情况，我还是联网双击的

jmekoda1

学雷锋做人 发表于 2017-2-3 01:28
创建子进程那块已经让勒索挂了，如果没有创建子进程，主进程直接修改的那种，没有一个文件能被加密

趋势为什么那么强  

分析一下

230f4

https://www.bleepingcomputer.com ... a-and-exploit-kits/

天耀群星

这不是勒索木马，这是修改系统引导的木马！

2017/2/10 14:04:22    创建文件    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: C:\Users\zheng\AppData\Local\Temp\_MEI7722\10o_crypted.exe.manifest
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.manifest

2017/2/10 14:04:36    创建文件    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: C:\Users\zheng\AppData\Local\Temp\_MEI7722\Microsoft.VC90.CRT.manifest
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.manifest


2017/2/10 14:05:22    创建文件    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: C:\Users\zheng\AppData\Local\Temp\_MEI7722\msvcr90.dll
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.dll

2017/2/10 14:05:43    创建文件    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: C:\Users\zheng\AppData\Local\Temp\_MEI7722\python27.dll
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.dll

2017/2/10 14:06:09    创建文件    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: C:\Users\zheng\AppData\Local\Temp\_MEI7722\pythoncom27.dll
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.dll

2017/2/10 14:06:09    修改其他进程的内存    允许
进程: c:\windows\system32\csrss.exe
目标: c:\users\zheng\desktop\baiduyunsimple.exe
规则: [应用程序]c:\windows\system32\csrss.exe

2017/2/10 14:06:13    加载动态链接库    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: c:\users\zheng\appdata\local\temp\_mei7722\python27.dll
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [应用程序]*.exe -> [动态链接库]c:\users\zheng\appdata\local\temp\*

2017/2/10 14:06:13    修改其他进程的内存    允许
进程: c:\windows\system32\csrss.exe
目标: c:\users\zheng\desktop\baiduyunsimple.exe
规则: [应用程序]c:\windows\system32\csrss.exe

2017/2/10 14:06:19    加载动态链接库    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: c:\users\zheng\appdata\local\temp\_mei7722\msvcr90.dll
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [应用程序]*.exe -> [动态链接库]c:\users\zheng\appdata\local\temp\*

2017/2/10 14:06:54    加载动态链接库    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: c:\users\zheng\appdata\local\temp\_mei7722\_hashlib.pyd
规则:

2017/2/10 14:06:54    修改其他进程的内存    允许
进程: c:\windows\system32\csrss.exe
目标: c:\users\zheng\desktop\baiduyunsimple.exe
规则: [应用程序]c:\windows\system32\csrss.exe

2017/2/10 14:06:54    创建文件    阻止
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: E:\HIPS安全规则\MD干净模式规则【2016.4.12】\MD2017春节版\s.bat
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件组]危险的可执行文件 -> [文件]*; *.bat

2017/2/10 14:07:02    创建文件    允许
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: C:\READ_IT.hTmL
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2017/2/10 14:07:03    删除文件     阻止并结束进程
进程: c:\users\zheng\desktop\baiduyunsimple.exe
目标: C:\BOOTSECT.BAK
规则: [应用程序组]全局-命令行滤网  《二道滤网》  ————！！20 -> [文件组]保护-电脑引导程序 -> [文件]c:\; bootsect.bak

轩夏

MSE 断网
baiduyunSimple.exe
Infected: Ransom:Python/SocCrypt.B