2x Powershell Ransomware

显示全部楼层 · 发表于 2017-7-15 12:58:01

ccboxes 发表于 2017-7-13 09:11
果然，这类样本在BD2018下无法运行，但也没有弹出拦截信息。有点迷。

GD 反勒索触发调用BB结束了下面这些进程行为

Suspicious access to your file system has been detected, which suggests an encryption Trojan.

The following processes were therefore interrupted by G DATA for security reasons:
----------------------------------------------------------------
C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe (PID 4300)
C:\Windows\system32\windowspowershell\v1.0\powershell.exe (PID 6896)
C:\Windows\system32\taskhostw.exe (PID 3684)
C:\Program Files (x86)\Common Files\Acronis\Infrastructure\mms_mini.exe (PID 2856)
C:\Windows\system32\svchost.exe (PID 1176)
C:\Windows\system32\svchost.exe (PID 2968)
C:\Windows\system32\wbem\wmiprvse.exe (PID 6320)
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe (PID 4524)
C:\Program Files\2345Soft\HaoZip\HaoZip.exe (PID 7060)
C:\Windows\system32\sihost.exe (PID 3608)
C:\Windows\SysWOW64\svchost.exe (PID 3016)
C:\Windows\system32\svchost.exe (PID 316)
C:\Windows\System32\svchost.exe (PID 516)
C:\Windows\Explorer.EXE (PID 3744)
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe (PID 1760)
C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 2172)
C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe (PID 5308)
C:\Users\Administrator\AppData\Roaming\baidu\BaiduNetdisk\YunDetectService.exe (PID 1204)
C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 3716)
C:\Program Files (x86)\PowerShadow\App\PowerRemind.exe (PID 1952)
C:\Program Files (x86)\PowerShadow\App\PsFrame.exe (PID 6972)
C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 2064)
C:\Users\Administrator\AppData\Local\360Chrome\Chrome\Application\360chrome.exe (PID 208)
D:\Program Files (x86)\Tencent\SoftMgr\QQPCSoftTrayTips.exe (PID 436)
C:\Program Files\2345Soft\HaoZip\HaoZipUpdate.exe (PID 6612)
C:\Program Files\2345Soft\HaoZip\HaoZipLoader.exe (PID 5168)
C:\Windows\system32\windowspowershell\v1.0\powershell.exe (PID 5180)
----------------------------------------------------------------

If blocked, the following programs responsible will be moved to Quarantine:
----------------------------------------------------------------
C:\Users\Administrator\Desktop\cce0da7814b5966ffacfecacec0e87aec83989889b56e4dc37eed7873b51617f.js
C:\Users\Administrator\Desktop\a242c9ddf4e92088ab3caf11605cb9a35c77fa751c9f37b54eeec0b962cf56d1.js
----------------------------------------------------------------

显示全部楼层 · 发表于 2017-7-16 23:39:33

ccboxes 发表于 2017-7-13 12:38
现在PowerShell勒索所应该是最难防御的种类了，BD全程无反应，等我反馈一波。

趋势有点屌啊

威胁名称: HEU_AEGISCS1028
类型: 威胁
受感染文件: C:\Windows\System32\wscript.exe
处理措施: 已检测
检测方式: 实时扫描

威胁名称: HEU_AEGISCS1028
类型: 威胁
受感染文件: c:\windows\system32\…\powershell.exe
处理措施: 已检测
检测方式: 实时扫描

显示全部楼层 · 发表于 2017-7-16 23:58:31

js文件还会加密文件? avastmiss

显示全部楼层 · 发表于 2017-7-31 20:49:49

ccboxes 发表于 2017-7-13 12:38
现在PowerShell勒索所应该是最难防御的种类了，BD全程无反应，等我反馈一波。

卡巴PDM成功拦截

显示全部楼层 · 发表于 2017-8-31 13:22:14

，就一个. 发表于 2017-7-31 20:49
卡巴PDM成功拦截

不对，你这已经是入库杀了

显示全部楼层 · 发表于 2017-8-31 19:15:38

WD

Ransom : PowerShell/Abpodul.A

[病毒样本] 2x Powershell Ransomware

本帖子中包含更多资源