楼主: petr0vic
收起左侧

[病毒样本] WanaCrypt0r.Ransom (17.05.12)

  [复制链接]
ELOHIM
发表于 2017-5-13 00:48:58 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-5-13 02:09 编辑

SCEP 双击干掉。
————————
[mw_shl_code=html,true]日志名称:          System
来源:            Microsoft Antimalware
日期:            2017/5/13 0:21:32
事件 ID:         1116
任务类别:          无
级别:            警告
关键字:           经典
用户:            暂缺
计算机:           PC-PC
描述:
Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
有关更多信息,请查看下列内容:
http://go.microsoft.com/fwlink/? ... 721381&enterprise=1
         名称: Ransom:Win32/WannaCrypt
         ID: 2147721381
         严重性: 严重
         类别: 特洛伊木马
         路径: file:_C:\Users\PC\Desktop\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\u.wnry
         检测原点: 本地计算机
         检测类型: 动态签名
         检测源: 实时保护
         用户: PC-PC\PC
         进程名称: C:\Windows\explorer.exe
         签名版本: AV: 1.243.282.0, AS: 1.243.282.0, NIS: 116.88.0.0
         引擎版本: AM: 1.1.13704.0, NIS: 2.1.12706.0
_________________________________________________________________________________________

Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
有关更多信息,请查看下列内容:
http://go.microsoft.com/fwlink/? ... 721381&enterprise=1
         名称: Ransom:Win32/WannaCrypt
         ID: 2147721381
         严重性: 严重
         类别: 特洛伊木马
         路径: file:_C:\Users\PC\Desktop\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\@WanaDecryptor@.exe;file:_C:\Users\PC\Downloads\u.wnry
         检测原点: 本地计算机
         检测类型: 动态签名
         检测源: 实时保护
         用户: PC-PC\PC
         进程名称: C:\Users\PC\Downloads\1.exe
         签名版本: AV: 1.243.282.0, AS: 1.243.282.0, NIS: 116.88.0.0
         引擎版本: AM: 1.1.13704.0, NIS: 2.1.12706.0[/mw_shl_code]

_________________________________________________________________________________________



_________________________________________________________________________________________

但是母体还是不杀。因为其是加密的。
那也从侧面证明,现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。
解压密码如果可以破解则另说。

因为虚拟机,性能低下,造成所有文件被加密。
SCEP一边杀一边加密,持续过程进半小时之久。
现在宿主机磁盘还是100%。
相信硬件好的情况下不会出现这种情况。

需要特别说明的是:只读文件被加密。
所以面对勒索软件最好的方法还是及时有效地安全备份。
而并不是严重依赖于任何一款安全软件。
疏漏在所难免。
讽刺的是,高查杀好像更具诱惑性、误导性。
很有一种“我不会防不住的“感觉/”没有我杀不掉的病毒“的感觉。

不知NTFS禁止写入凑不凑效。  平安喜乐。
_________________________________________________________________________________________
补充:如果将加密图片手动改回以前扩展名(虽然并不能看),
那么经过一分钟左右时间以后文件将被彻底删除
_________________________________________________________________________________________
再补充:
[mw_shl_code=html,true]% s \ I n t e l     % s \ P r o g r a m D a t a     cmd.exe /c "%s" XIA 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw  13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94  %s%d    Global\MsWinZonesCacheCounterMutexA tasksche.exe    TaskStart   t.wnry  icacls . /grant Everyone:F /T /C /Q attrib +h . WNcry@2ol7  /i[/mw_shl_code]
那么,该文件解压密码为:
WNcry@2ol7


Wanna Cry 2017   
黑客大神也蛮有趣。


_________________________________________________________________________________________
加密文件类型:
[mw_shl_code=sql,true] .der .pfx .key .crt .csr .p12 .pem .odt .ott .sxw .stw .uot .3ds .max .3dm .ods .ots .sxc .stc .dif .slk .wb2 .odp .otp .sxd .std .uop .odg .otg .sxm .mml .lay .lay6 .asc .sqlite3 .sqlitedb .sql .accdb .mdb .db .dbf .odb .frm .myd .myi .ibd .mdf .ldf .sln .suo .cs .c .cpp .pas .h .asm .js .cmd .bat .ps1 .vbs .vb .pl .dip .dch .sch .brd .jsp .php .asp .rb .java .jar .class .sh .mp3 .wav .swf .fla .wmv .mpg .vob .mpeg .asf .avi .mov .mp4 .3gp .mkv .3g2 .flv .wma .mid .m3u .m4u .djvu .svg .ai .psd .nef .tiff .tif .cgm .raw .gif .png .bmp .jpg .jpeg .vcd .iso .backup .zip .rar .7z .gz .tgz .tar .bak .tbk .bz2 .PAQ .ARC .aes .gpg .vmx .vmdk .vdi .sldm .sldx .sti .sxi .602 .hwp .snt .onetoc2 .dwg .pdf .wk1 .wks .123 .rtf .csv .txt .vsdx .vsd .edb .eml .msg .ost .pst .potm .potx .ppam .ppsx .ppsm .pps .pot .pptm .pptx .ppt .xltm .xltx .xlc .xlm .xlt .xlw .xlsb .xlsm .xlsx .xls .dotx .dotm .dot .docm .docb .docx .doc[/mw_shl_code]


这个勒索使用了三个重要的文件分别是:cmd.exe|icacls.exe|attrib.exe 。
如果日常没有那么频繁的安装升级软件打补丁,
设置好系统以后,可以禁用他们了吧?

相关链接:http://cn.bing.com/search?q=WNcry%402ol7

终结。睡觉。






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
sunnyjianna + 1 就你事多O(∩_∩)O哈哈~
fireherman + 1 就你最YD ^_^

查看全部评分

petr0vic
 楼主| 发表于 2017-5-13 00:53:21 | 显示全部楼层
gwofeng
发表于 2017-5-13 01:57:51 | 显示全部楼层
这隻病毒,在今晚可是超级轰动阿
台湾灾情超级惨
Dolby123
发表于 2017-5-13 02:09:05 | 显示全部楼层
本帖最后由 Dolby123 于 2017-5-13 02:52 编辑

[mw_shl_code=css,true]https://intel.malwaretech.com/WannaCrypt.html[/mw_shl_code]
动态信息哇 botnet live feed , 中国和俄罗斯最多被感染。时间一久,绿点越来越多了




25分钟之后

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
petr0vic
 楼主| 发表于 2017-5-13 04:21:14 | 显示全部楼层
WannaCry ransomware used in widespread attacks all over the world
https://securelist.com/blog/inci ... all-over-the-world/
Dolby123
发表于 2017-5-13 04:32:49 | 显示全部楼层
本帖最后由 Dolby123 于 2017-5-13 04:34 编辑

another interesting article
http://www.bbc.com/news/technology-39901382

A patch for the vulnerability was released by Microsoft in March, but many systems may not have had the update installed.

心醉咖啡
发表于 2017-5-13 08:06:23 | 显示全部楼层
毒霸扫描miss
900703
发表于 2017-5-13 09:32:03 | 显示全部楼层
Eset小粉絲 发表于 2017-5-12 20:26
avira
Detection:        TR/AD.RansomHeur.ed01eb (Cloud)

Avira Free在病毒爆發當下被過了......
引领五基生活
发表于 2017-5-13 09:49:47 | 显示全部楼层
瑞星
Malware.Heuristic!ET#89%-vZkqDj6QDKF
驭龙
发表于 2017-5-13 10:59:18 | 显示全部楼层
ELOHIM 发表于 2017-5-13 00:48
SCEP 双击干掉。
————————
[mw_shl_code=html,true]日志名称:          System
那也从侧面证明,现在杀掉它的杀软只是拉黑。抓瞎拉黑杀。

这个我反对,看楼上ESET的报毒名,绝不是拉黑,人家报毒名都那么准确,是基因杀啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 10:39 , Processed in 0.098223 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表