Cerber+Locky.Ransom (17.02.15)

显示全部楼层 · 发表于 2017-2-15 12:36:56

青衣染雪发表于 2017-2-15 09:47
卡巴扫描1x，cerber双击miss

感谢您的帮助，在您提交的样本中有新的发现，请稍后更新最新数据库试一下
locky.exe_ detected Trojan-Ransom.Win32.Locky.xmd
cerber.exe_ detected Trojan-Ransom.Win32.Zerber.ceay

显示全部楼层 · 发表于 2017-2-15 13:24:21

本帖最后由青衣染雪于 2017-2-15 13:26 编辑

linzh 发表于 2017-2-15 12:16
这。。。只是加密了这个文件夹里的文件吗？还是有很多文件都被加密了
卡巴的主防没有任何提示还是拦截了 ...

加密了好几个文件夹，卡巴没有任何提示
120g小硬盘没装虚拟机，不过没啥重要文件

显示全部楼层 · 发表于 2017-2-15 14:44:28

青衣染雪发表于 2017-2-15 13:24
加密了好几个文件夹，卡巴没有任何提示
120g小硬盘没装虚拟机，不过没啥重要文件

测试病毒HIPS总要用一下的吧

显示全部楼层 · 发表于 2017-2-15 15:23:58

MSE 断网 miss

显示全部楼层 · 发表于 2017-2-15 15:54:57

avast 入库了

显示全部楼层 · 发表于 2017-2-15 17:36:55

微点拦截一个

显示全部楼层 · 发表于 2017-2-15 18:19:35

本帖最后由 jmekoda1 于 2017-2-15 18:31 编辑

卡巴未知程序入高限制组

原本禁止连网，所以呢
完美防御，完全不用回滚

所有勒索实机测试
无一例外
过不了
卡巴应用程序控制

显示全部楼层 · 发表于 2017-2-15 19:28:53

本帖最后由天耀群星于 2017-2-15 19:41 编辑

2017/2/15 19:34:42 访问COM接口 (6) 允许
进程: c:\users\zheng\desktop\cerber.exe
目标: {8BC3F05E-D86B-11D0-A075-00C04FB68820}
规则: [应用程序组]高危-《首道滤网》-————优先阻止！！10 -> [COM接口]{8BC3F05E-D86B-11D0-A075-00C04FB68820}

2017/2/15 19:34:52 修改文件阻止
进程: c:\users\zheng\desktop\cerber.exe
目标: F:\bootsqm.dat
规则: [应用程序组]高危-《首道滤网》-————优先阻止！！10 -> [文件组]保护-电脑引导程序 -> [文件]?:\; bootsqm.dat

2017/2/15 19:20:50 修改文件阻止
进程: c:\users\zheng\desktop\locky.exe
目标: D:\kexing-ruanjian\Fine\RES\html\js\config.js
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]保护安全软件的目录和文件 -> [文件]*\kexing-ruanjian*

显示全部楼层 · 发表于 2017-2-15 21:15:17

本帖最后由 Monismith 于 2017-2-15 21:29 编辑

青衣染雪发表于 2017-2-15 13:24
加密了好几个文件夹，卡巴没有任何提示
120g小硬盘没装虚拟机，不过没啥重要文件

GDATA扫描miss，行为监控全部拦截
没记错的，兄弟上一次实机中勒索，是用GD的时候

显示全部楼层 · 发表于 2017-2-15 21:38:42

Monismith 发表于 2017-2-15 21:15
GDATA扫描miss，行为监控全部拦截
没记错的，兄弟上一次实机中勒索，是用GD的时候

是的

这次把重要文件都扔网盘了

[病毒样本] Cerber+Locky.Ransom (17.02.15)

本帖子中包含更多资源