【翻车时间】YourRansom build170803 (VT 3 / 63)

popu111

DF快递 发表于 2017-8-4 11:16
过小a,沙盒运行闪推

有简单的反虚拟环境

abcxzr5

Gollum 发表于 2017-8-4 10:58
BDTS 加密！

哎哟，BD 卡巴都翻车辣

2318227009

关键行为
行为描述：        直接获取CPU时钟
详情信息：       
EAX = 0xbcb3286c, EDX = 0x000000b3
EAX = 0xbcb328b8, EDX = 0x000000b3
EAX = 0xbcb32904, EDX = 0x000000b3
EAX = 0xbcb32950, EDX = 0x000000b3
行为描述：        直接调用系统关键API
详情信息：       
Index = 0x0000010F, Name: NtWaitForSingleObject, Instruction Address = 0x004469E2
进程行为
行为描述：        创建本地线程
详情信息：       
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2628, ThreadID = 2644, StartAddress = 00446900, Parameter = 4CB3A000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2628, ThreadID = 2648, StartAddress = 00446900, Parameter = 4CB3A280
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2628, ThreadID = 2652, StartAddress = 00446900, Parameter = 4CB3A500
文件行为
行为描述：        查找文件
详情信息：       
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\*
其他行为
行为描述：        直接获取CPU时钟
详情信息：       
EAX = 0xbcb3286c, EDX = 0x000000b3
EAX = 0xbcb328b8, EDX = 0x000000b3
EAX = 0xbcb32904, EDX = 0x000000b3
EAX = 0xbcb32950, EDX = 0x000000b3
行为描述：        直接调用系统关键API
详情信息：       
Index = 0x0000010F, Name: NtWaitForSingleObject, Instruction Address = 0x004469E2
行为描述：        创建事件对象
详情信息：       
EventName = DINPUTWINMM
进程树
****.exe (PID: 0x00000a44)

a445441

虚拟机运行不起来，微点MISS

popu111

2318227009 发表于 2017-8-4 11:28
关键行为
行为描述：        直接获取CPU时钟
详情信息：       

直接复制哈勃是不是有点水？刷屏还毫无意义那种，发链接更合适一些吧？

2318227009

popu111 发表于 2017-8-4 11:30
直接复制哈勃是不是有点水？刷屏还毫无意义那种，发链接更合适一些吧？

....哦       https://habo.qq.com/file/showdet ... pk=ADAGZ11kB2cIPVs4

引领五基生活

微点Win7 32 MISS
火绒入库

心醉咖啡

毒霸扫描miss

猫大人

卡巴翻车很难受
但是看到BD也翻车了，心里平衡了点
我打赌FSP的DG拦截绝壁不是因为检测到了可疑行为。
EMSI要是BUG修复下，HIPS能多给一点拦截程序的行为信息就好了，现在还是不太好用。

popu111

猫大人 发表于 2017-8-4 11:44
卡巴翻车很难受
但是看到BD也翻车了，心里平衡了点
我打赌FSP的DG拦截绝壁不是因为检测到了可疑行为。

哈哈哈，不常见大家都懂，dg这逻辑真是坑

以及BD默认设置的话理论上来说会侧翻，但是因为我在非正常环境下测试并没有翻车