收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 SAGE 2.0 Ransomware
12下一页
返回列表 发新帖
查看: 5252|回复: 15
收起左侧

[病毒样本] SAGE 2.0 Ransomware

[复制链接]
Dolby123
发表于 2017-2-12 02:07:26 | 显示全部楼层 |阅读模式
本帖最后由 Dolby123 于 2017-2-12 02:14 编辑



挂马网址 : hxxp://meyaau.com/doc_1928419212.exe

avast

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Monismith
发表于 2017-2-12 02:27:34 | 显示全部楼层
本帖最后由 Monismith 于 2017-2-12 14:17 编辑

GD行为监控block
12小时后, AB引擎均入库:Trojan.GenericKD.4363665 (引擎A) Win32.Trojan-Ransom.Sage.QCE0TV (引擎B)

[mw_shl_code=css,true]AVA 25.10611
GD 25.7015

*** 进程 ***

进程: 468
文件名: Dartmouth Hence.exe
路径: c:\users\admin\desktop\dartmouth hence.exe

发行商:: 未知发行商
创建日期: 02/11/17 18:24:42
修改日期: 02/11/17 18:00:33

启动进程:: Explorer.EXE
发行商:: Microsoft Windows


*** 操作 ***

一个未知进程访问了。
程序已创建或已操作可执行文件。
程序已从自身的程序文件读取数据。
程序进行了自我复制。
可执行文件被保存在一个可疑位置。


*** 隔离区 ***

下列文件被转入隔离区:
C:\Users\admin\AppData\Roaming\1c8mR145.exe
C:\Users\admin\AppData\Roaming\Mb7vdLC2.tmp
C:\Users\admin\AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk
C:\Users\admin\Desktop\Dartmouth Hence.exe[/mw_shl_code]
回复

举报

Eset小粉絲
发表于 2017-2-12 02:33:41 | 显示全部楼层


[mw_shl_code=css,true]
Type:        File
Source:        C:\Users\Ivan\Downloads\Dartmouth Hence.exe
Status:        Infected
Quarantine object:        76c1f0e2.qua
Restored:        NO
Uploaded to Avira:        NO
Operating system:        Windows XP/VISTA Workstation/Windows 7
Search engine:        8.03.42.172
Virus definition file:        8.12.153.184
Detection:        TR/AD.Cerber.Y (Cloud)
Date/Time:        12/2/2017, 2:33[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

linzh
发表于 2017-2-12 05:01:26 | 显示全部楼层
ESET云拉黑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dongwenqi
发表于 2017-2-12 08:15:10 | 显示全部楼层
卡巴云拉黑
回复

举报

pal家族
发表于 2017-2-12 08:16:43 | 显示全部楼层
文件名: doc_1928419212[1].exe
威胁名称: Ransom.Cry完整路径: c:\users\72428\appdata\local\packages\windows_ie_ac_001\ac\inetcache\0t1mk36e\doc_1928419212[1].exe

____________________________

____________________________


在电脑上 
2017/2/12 ( 8:14:18 )

上次使用时间 
2017/2/12 ( 8:16:18 )

启动项 


已启动 


威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


doc_1928419212[1].exe 威胁名称: Ransom.Cry
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


http://meyaau.com/doc_1928419212.exe
已下载文件 从 meyaau.com
来源: 外部介质

doc_1928419212[1].exe

____________________________

文件操作

文件: c:\users\72428\appdata\local\packages\windows_ie_ac_001\ac\inetcache\0t1mk36e\ doc_1928419212[1].exe 已删除
____________________________


文件指纹 - SHA:
5b07c04de17a4d91c0037f551bbb760f25f409dfdcc037446de880c5a5ce8cb8
文件指纹 - MD5:
d6a6aeca00c684fcdd7b292aa39f5339
回复

举报

lvhaoran123
发表于 2017-2-12 08:59:27 | 显示全部楼层
火绒扫描miss
回复

举报

引领五基生活
发表于 2017-2-12 09:32:18 | 显示全部楼层
fsp miss
回复

举报

j2016
发表于 2017-2-12 13:10:51 | 显示全部楼层
fscs解压秒
回复

举报

cwl12315
发表于 2017-2-12 13:18:02 | 显示全部楼层
BDF ATC kill
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-6 14:48 , Processed in 0.152943 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表