搜索
12
返回列表 发新帖
楼主: Dolby123
收起左侧

[病毒样本] Reyptson ransomware 西班牙语勒索信

[复制链接]
引领四基生活
发表于 2017-7-16 18:25:39 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
,就一个.
发表于 2017-7-16 21:11:39 | 显示全部楼层
AVA 25.13402
GD 25.10012

*** Process ***

Process: 5364
File name: 1d2968648d8e72ff017ebad79e1b16eb8d09fb8257e5a5235e0ad63e6bee0c4a.exe
Path: d:\360极速浏览器下载\1d2968648d8e72ff017ebad79e1b16eb8d09fb8257e5a5235e0ad63e6bee0c4a\1d2968648d8e72ff017ebad79e1b16eb8d09fb8257e5a5235e0ad63e6bee0c4a.exe

Publisher: Unknown publisher
Creation date: 2017年7月16日 21:11:47
Modification date: 2017年7月16日 0:40:37

Started by: Explorer.EXE
Publisher: Microsoft Windows


*** Actions ***

The virus scanner has detected that the file is malicious.
The program is trying to create a startup item to launch a program automatically at system startup.
An unknown process was accessed.
The program has created or manipulated an executable file.
The program can be used to execute any program code.
The cloud server recognized this file and identified it as malicious.


*** Quarantine ***

The following files were moved into quarantine:
C:\Users\Administrator\AppData\Roaming\Spotify\SpotifyWebHelper\Spotify.vbs
C:\Users\Administrator\AppData\Roaming\Spotify\SpotifyWebHelper\SpotifyWebHelper.exe
D:\360极速浏览器下载\1d2968648d8e72ff017ebad79e1b16eb8d09fb8257e5a5235e0ad63e6bee0c4a\1d2968648d8e72ff017ebad79e1b16eb8d09fb8257e5a5235e0ad63e6bee0c4a.exe

The following registry entries were deleted:

\registry\user\s-1-5-21-3791087008-2748381550-4144482455-500\software\microsoft\windows\currentversion\run || spotify web helper v1.0

YHKSDiwnJyYmJwctJygnJycHLicrJyonBy8nJycnJganQicpdHJCJwi3cpJycnKCgCsnKCYmJwjocnJiYnJykCsnp5AtJwfpcrJiYnKyoCwnKyYmJwvbcnJiYnJywConJyYmJwf8cnJiYnJy0CgnKyYmJwvtcoJiYnKC8CYnKSYmJwmPcsJywmJi8C4nJycnJgZ3KicHpysb/zVmKioZmjVmKycb/zVmKgm3LScnJycmBscuJyomJicKxy8nLSYmJw3nKCe5cI9yknCfcoJycnJycK9ycmJicnKAlnKygGpygmJicoKA+3KicpJycoCuctKAvnLSYmJy0gAA
Rules version: 5.0.148
OS: Windows 10.0 Service Pack 0.0 Build: 14393 - Workstation 64bit OS
dll version: 70613

"D:\360极速浏览器下载\1d2968648d8e72ff017ebad79e1b16eb8d09fb8257e5a5235e0ad63e6bee0c4a\1d2968648d8e72ff017ebad79e1b16eb8d09fb8257e5a5235e0ad63e6bee0c4a.exe"
MD5: C9DAFB23BDBA2A46FE1E573AE75C0D4D
C:\Windows\explorer.exe /factory,ceff45ee-c862-41de-aee2-a022c81eda92 -Embedding
MD5: 679D17F8CDB938C7100D7A647953677E
尘梦幽然
发表于 2017-7-17 00:32:14 | 显示全部楼层
68221281 发表于 2017-7-16 02:13
诺顿双击被过,SONAR无反应。
附上一个VT的图,有意思的是除了CrowdStrike的机器学习以外,赛门铁克 ...

CrowdStrike的报法和其他厂商似乎并不太一样,他们的检测更像是告诉你这个文件有多少的可能性是恶意的
schumi小粉
发表于 2017-7-17 11:19:59 | 显示全部楼层
毫无压力!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
68221281
发表于 2017-7-17 11:54:01 | 显示全部楼层
尘梦幽然 发表于 2017-7-17 00:32
CrowdStrike的报法和其他厂商似乎并不太一样,他们的检测更像是告诉你这个文件有多少的可能性是恶意的

这个样本100%的确定性,感觉还是很厉害的。不过确实感觉赛门铁壳的误报要少一点。
shanghaiplmm
发表于 2017-7-17 12:47:31 | 显示全部楼层
有密码,解不开。
Dolby123
 楼主| 发表于 2017-7-17 12:50:18 | 显示全部楼层

infected
greenfinger168
发表于 2017-7-17 19:28:46 | 显示全部楼层
一解压,ESS直接删除

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-23 02:27 , Processed in 0.043678 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表