勒索.exe (数字签名)，老司机翻车了

显示全部楼层 · 发表于 2017-9-7 12:08:29

SEP 扫描被过

双击拦截

显示全部楼层 · 发表于 2017-9-7 12:23:32

360 卡巴 kill

显示全部楼层 · 发表于 2017-9-7 13:17:04

看来勒索确实是个难题，卡巴也难对付

显示全部楼层 · 发表于 2017-9-7 16:17:32

管家国际版

金山毒霸

显示全部楼层 · 发表于 2017-9-7 17:22:24

小红伞右键扫描无反应，双击运行后也无反应！

显示全部楼层 · 发表于 2017-9-8 10:47:24

为什么下载不了

显示全部楼层 · 发表于 2017-9-8 11:33:05

lxdwinner 发表于 2017-9-8 10:47
为什么下载不了

你网络的问题，我这边一点就秒下完了

显示全部楼层 · 发表于 2017-9-8 20:40:58

本帖最后由 ma0839 于 2017-9-8 20:46 编辑

回复看不到附件啊

显示全部楼层 · 发表于 2017-9-8 21:42:43

不会感染物理机吧

显示全部楼层 · 发表于 2017-9-14 20:24:44

本帖最后由左手于 2017-9-16 00:27 编辑

[mw_shl_code=css,true]2017-9-14 20:23:46 创建文件危险等级:低允许
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\Documents and Settings\Administrator\Application Data\2.exe
规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f999_低优先_询问桌面/菜单 -> [文件]c:\documents and settings\*\*\*

2017-9-14 20:23:52 修改注册表值危险等级:敏感阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck
值: C:\Documents and Settings\Administrator\Application Data\2.exe
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\documents and settings\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: K:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]k:\*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: J:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]j:\*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: I:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]i:\*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: H:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]h:\*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: G:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]g:\*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: F:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]f:\*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: E:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]e:\*

2017-9-14 20:23:53 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: D:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]d:\*

2017-9-14 20:23:53 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\AMTAG.BIN
规则: [应用程序]?:\*\*\* -> [文件组]《保护》f023_根目录

2017-9-14 20:23:53 创建文件危险等级:低允许
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\READ_IT.html
规则: [应用程序]?:\*\*\* -> [文件组]《保护》f023_根目录

2017-9-14 20:23:53 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\boot.ini
规则: [应用程序]?* -> [文件]?:\; boot.ini

2017-9-14 20:23:53 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\bootfont.bin
规则: [应用程序]?* -> [文件]?:\; bootfont.bin

2017-9-14 20:23:53 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\cleanup.bat
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]*; *.bat

2017-9-14 20:23:53 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\dk2.mem
规则: [应用程序]?:\*\*\* -> [文件组]《保护》f023_根目录

2017-9-14 20:23:53 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\echo.vbs
规则: [应用程序]?:\*\*\* -> [文件组]《保护》f023_根目录

2017-9-14 20:23:53 修改文件危险等级:敏感阻止并结束进程
进程: c:\documents and settings\administrator\桌面\2.exe
目标: C:\NTDETECT.COM
规则: [应用程序]?* -> [文件]?:\; ntdetect.com

2017-9-14 20:24:13 加载动态链接库危险等级:中允许
进程: c:\documents and settings\administrator\application data\2.exe
目标: c:\documents and settings\administrator\local settings\temp\nsp24e.tmp\system.dll
规则: [应用程序]c:\documents and settings\*\application data\* -> [动态链接库]*\temp\*

2017-9-14 20:24:24 修改注册表值危险等级:敏感阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CertificatesCheck
值: C:\Documents and Settings\Administrator\Application Data\2.exe
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\documents and settings\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: K:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]k:\*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: J:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]j:\*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: I:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]i:\*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: H:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]h:\*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: G:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]g:\*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: F:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]f:\*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: E:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]e:\*

2017-9-14 20:24:24 读文件夹危险等级:低阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: D:
规则: [文件组]《坚固》f111_隐藏磁盘 -> [文件]d:\*

2017-9-14 20:24:24 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: C:\AMTAG.BIN
规则: [应用程序]?:\*\*\* -> [文件组]《保护》f023_根目录

2017-9-14 20:24:24 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: C:\boot.ini
规则: [应用程序]?* -> [文件]?:\; boot.ini

2017-9-14 20:24:24 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: C:\bootfont.bin
规则: [应用程序]?* -> [文件]?:\; bootfont.bin

2017-9-14 20:24:24 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: C:\cleanup.bat
规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的文件>a100 -> [文件]*; *.bat

2017-9-14 20:24:24 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: C:\dk2.mem
规则: [应用程序]?:\*\*\* -> [文件组]《保护》f023_根目录

2017-9-14 20:24:24 修改文件危险等级:敏感 (2) 阻止
进程: c:\documents and settings\administrator\application data\2.exe
目标: C:\echo.vbs
规则: [应用程序]?:\*\*\* -> [文件组]《保护》f023_根目录

2017-9-14 20:24:24 修改文件危险等级:敏感阻止并结束进程
进程: c:\documents and settings\administrator\application data\2.exe
目标: C:\NTDETECT.COM
规则: [应用程序]?* -> [文件]?:\; ntdetect.com

[/mw_shl_code]

[病毒样本] 勒索.exe (数字签名)，老司机翻车了

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源