Ransom_Wadhrama.R023C0DG417

猥琐大叔

397987544

文件名: flu7.tmp.exe
威胁名称: Trojan.Gen.2完整路径

____________________________

____________________________


在电脑上 
2017/7/7 ( 21:17:15 )

上次使用时间 
2017/7/7 ( 21:17:28 )

启动项 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


flu7.tmp.exe 威胁名称: Trojan.Gen.2
定位


少量用户信任的文件
Norton 社区中有数百名用户 使用了此文件。

新建的文件
该文件已在 9 天 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DcyOTJ8MjA5NTU5OA==
已下载文件 从 att.kafan.cn
来源: 外部介质

7zg.exe


创建的文件:
flu7.tmp.exe

____________________________

文件操作

文件: 威胁已删除
____________________________


文件指纹 - SHA:
41c53e90f0861b068eaa512edff28a586128f808b437122399347bcb3774914a
文件指纹 - MD5:
b0492e56e1246873173e8f7d32f8a278

安全守护者

行为描述：        创建互斥体
详情信息：       
C6F26321_offset
行为描述：        创建事件对象
详情信息：       
EventName = Global\crypt32LogoffEvent
行为描述：        加密数据
详情信息：       
[CryptEncrypt] Data: 0x001938B0, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x00193AD8, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001E2CE8, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001E2F08, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001E30A0, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001E34C0, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001E3A40, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001E4318, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001A6CE8, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x00199CB8, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001E5C30, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001A61C0, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001A6358, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001DD550, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
[CryptEncrypt] Data: 0x001DDAD0, PlainTextLen: 128, CipherTextLen: 128, Flags: 0x00000000
行为描述：        获取TickCount值
详情信息：       
TickCount = 219593, SleepMilliseconds = 1000.
TickCount = 226343, SleepMilliseconds = 5000.
TickCount = 221868, SleepMilliseconds = 150.
行为描述：        打开事件
详情信息：       
HookSwitchHookEnabledEvent
Global\crypt32LogoffEvent
\SECURITY\LSA_AUTHENTICATION_INITIALIZED
行为描述：        可执行文件签名信息
详情信息：       
C:\Documents and Settings\Administrator\Application Data\BCC6F26321.exe(签名验证: 未通过)
行为描述：        调用Sleep函数
详情信息：       
[1]: MilliSeconds = 1000.
[1]: MilliSeconds = 5000.
[2]: MilliSeconds = 150.
[3]: MilliSeconds = 150.
[4]: MilliSeconds = 150.
[5]: MilliSeconds = 150.
[6]: MilliSeconds = 150.
[7]: MilliSeconds = 150.
[8]: MilliSeconds = 150.
[9]: MilliSeconds = 150.
[10]: MilliSeconds = 150.
行为描述：        可执行文件MD5
详情信息：       
C:\Documents and Settings\Administrator\Application Data\BCC6F26321.exe ---> b0492e56e1246873173e8f7d32f8a278
行为描述：        打开互斥体
详情信息：       
DBWinMutex
ShimCacheMutex
行为描述：        导入密钥
详情信息：       
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x00184980, DataLen: 148, Flags: 0x00000000
[CryptImportKey] Algorithm: CALG_RSA_KEYX (0x0000a400), Data: 0x001A7980, DataLen: 148, Flags: 0x00000000
行为描述：        查找文件方式探测虚拟机
详情信息：       
FindFirstFileEx: FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\*.*

安全守护者

https://www.maldun.com/analysis/ ... lkc2Zhc2RmYXNkZg==/

ytysh

F-Secure Kill

，就一个.

墨家小子 发表于 2017-7-7 15:03
这个样本，GD主防不能完全防御，母体防御成功，分离出来的样本把文件加密了，主防无反应

测试了3次 无论是win10 还是win7 无论是触发主防还是触发反勒索 我都没有出现被加密的迹象 下面主防日志跟反勒索日志


这是GD主防的日志
AVA 25.13275
GD 25.9951

***过程***

过程：11096
文件名：flu7.tmp.exe
路径：c：\ users \ administrator \ desktop \ flu7.tmp.exe

出版商：未知发布商
创作日期：2017年7月9日15:27:23
修改日期：2017年7月9日15:27:23

发起者：Explorer.EXE
发行商：Microsoft Windows


***动作***

病毒扫描程序检测到该文件是恶意的。
该程序文件被误导为欺骗用户（例如“Image.jpg.exe”）
该程序正在尝试创建启动项目，以便在系统启动时自动启动程序。


***隔离***

将以下文件移动到隔离区中：
C：\用户\管理员\桌面\ flu7.tmp.exe

以下注册表项已删除：

\ registry \ user \ s-1-5-21-1908538735-2356423330-182712670-500 \ software \ microsoft \ windows \ currentversion \ run || 00ffc6f26321

YHJyCSwnJycnJgYvJygnKCYGh3KCcoJiYnAqdIJCJygmBrdygnKCYmKALicnJycmBrlyspAtJwePcqJyomJicKdycnC6gtFcY6ZygtFcY6ZyYmJwjnJyCOcpJyknKSYG9ygnCgA
规则版本：5.0.147
操作系统：Windows 10.0 Service Pack 0.0 Build：14393 - 工作站64位操作系统
dll版本：68091

“C：\用户\管理员\桌面\ flu7.tmp.exe”
MD5：B0492E56E1246873173E8F7D32F8A278
C：\ WINDOWS \ EXPLORER.EXE
MD5：05181A5AC4197D6C5C02ACE6070AF234





这是反勒索的日志

检测到可疑的文件系统访问，这可能是加密木马。

因为安全原因，G DATA已中断如下进程：
        ----------------------------------------------------------------
        C:\Windows\explorer.exe (PID 3968)
        C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 352)
         (PID 4748)
        C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 2996)
        C:\Windows\explorer.exe (PID 3956)
        C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 4152)
        D:\flu7.tmp.exe (PID 1636)
        C:\Windows\SysWOW64\sc.exe (PID 5000)
         (PID 1132)
        ----------------------------------------------------------------

阻止后，如下程序将被移入隔离区：
        ----------------------------------------------------------------
        D:\360极速浏览器下载\flu7.tmp\flu7.tmp.exe
        C:\Users\Administrator\Desktop\flu7.tmp.exe
        D:\flu7.tmp.exe
        ----------------------------------------------------------------

检测到可疑行为：
        ----------------------------------------------------------------
        已删除： Volume Shadow Copies
        已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_lPhFDpcatHIt0ps
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000091
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000092
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000093
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000094
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000095
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000096
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000097
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000098
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_000099
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009a
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009b
        已创建： D:\360极速浏览器下载\FF52.tmp
        已创建： D:\360极速浏览器下载\flu7.tmp.zip:Zone.Identifier
        已创建： C:\Users\Administrator\AppData\Local\Temp\360se_dcs.wav
        已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~618.tmp
        已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ6D4.tmp
        已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ6D5.tmp
        已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_JIPRZFzosC84Jow
        已创建： D:\360极速浏览器下载\flu7.tmp\flu7.tmp.exe
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\1EE4.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF191f04.TMP
        已创建： C:\Users\Administrator\AppData\Local\Temp\HZ~2992.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\2BB1.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Local State~RF192bb1.TMP
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009c
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Favicons-journal
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009d
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009e
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_00009f
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a0
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a1
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a2
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a3
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\69E9.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF196a56.TMP
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a4
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a5
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Cache\f_0000a6
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\99C0.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF1999cf.TMP
        已创建： C:\Users\Administrator\Desktop\flu7.tmp.exe
        已创建： C:\Users\Administrator\Desktop\flu7.tmp.exe
        已创建： C:\Users\Administrator\AppData\Local\Temp\HZ~A8EF.tmp
        已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_sp3yiJXRurhfglr
        已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\RC~A94E.tmp
        已创建： C:\Users\Administrator\Desktop\新建文本文档.txt
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\D00D.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF19d02a.TMP
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\75EE.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\Login Data-journal
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Local State~RF1a7609.TMP
        已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_GZtyXPWPRjdcqPJ
        已创建： C:\Users\Administrator\AppData\Local\Temp\etilqs_QJEjaOoqU7yeoLI
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\7727.tmp
        已创建： C:\Users\Administrator\AppData\Local\360Chrome\Chrome\User Data\Default\360UID38663595_V8\Preferences~RF1a7751.TMP
        已创建： C:\Users\Administrator\AppData\Local\Temp\FXSAPIDebugLogFile.txt
        已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~9A4C.tmp
        已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ9AE9.tmp
        已创建： C:\Users\Administrator\AppData\Local\Temp\~HZ9AEA.tmp
        已创建： D:\360极速浏览器下载\flu7.tmp\flu7.tmp.exe
        已创建： C:\Users\Administrator\AppData\Local\Temp\HZ~B4E0.tmp
        已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\RC~B52F.tmp
        已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~1969.tmp
        已创建： C:\Users\Administrator\AppData\Roaming\HaoZip\HZ~2E51.tmp
        已创建： D:\新建文本文档.txt
        UNCLASSIFIED: , , ,
        UNCLASSIFIED: , , ,
        UNCLASSIFIED: , , ,
        ----------------------------------------------------------------

用户已阻止该操作。

qftest