搜索
12
返回列表 发新帖
楼主: 191196846
收起左侧

[病毒样本] 【Ransom】KekrwTtaL.exe 10.05

[复制链接]
一覺到天明
发表于 2017-10-6 00:53:06 | 显示全部楼层
FSP 掃描miss DG也miss
測試這些勒索程式 沒裝個虛擬機或沙盤還真是危險
cz100zhengzelin
发表于 2017-10-6 01:09:21 | 显示全部楼层
本帖最后由 cz100zhengzelin 于 2017-10-6 02:29 编辑

火绒安全:Kill!双击(虚拟机、无杀毒)——文件被加密。。。exe、dll未被加密。病毒本体不见了。

恢复快照,File_Analysis分析:
01:38:56[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.8.0.0

01:39:45[2]:(允许)读取文件:C:\Windows\system32\rsaenh.dll     访问权限:-2147483648

01:39:45[3]:(允许)打开内核对象:\\.\PIPE\lsarpc(物理设备)

01:39:45[4]:(允许)打开内核对象:\\.\VBoxGuest(物理设备)

01:39:45[5]:(允许)打开内核对象:\\.\VBoxMiniRdrDN(物理设备)

01:39:45[6]:(允许)打开内核对象:\\.\PIPE\wkssvc(物理设备)

01:39:45[7]:(允许)打开内核对象:\\.\PIPE\DAV RPC SERVICE(物理设备)

01:39:45[8]:(允许)打开内核对象:\\.\VBoxMiniRdrDN(物理设备)

01:39:46[13]:(允许)打开内核对象:\\.\PIPE\DAV RPC SERVICE(物理设备)

01:39:46[14]:(安全环境)查找文件:c:\*

01:39:48[15]:(允许)获取文件属性:C:\Users\Alex\Desktop

01:39:49[16]:(允许)获取文件属性:C:\Users\Alex\AppData\Roaming

01:39:49[17]:(允许)获取文件属性:C:\Users\Alex\Desktop\ykcol.htm

01:39:49[18]:(安全环境)查找文件:C:\Users\Alex\Desktop\ykcol.htm

01:39:49[19]:(安全环境)写入文件:C:\Users\Alex\Desktop\ykcol.htm     访问权限:-1073741824

01:39:49[20]:(允许)获取文件属性:C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[21]:(安全环境)查找文件:C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[22]:(允许)读取文件:C:\Windows\Fonts\staticcache.dat     访问权限:-2147483648

01:39:49[23]:(安全环境)写入文件:C:\Users\Alex\Desktop\ykcol.bmp     访问权限:-1073741824

01:39:49[24]:(阻止)写注册表值:HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle     数据:0

01:39:49[25]:(阻止)写注册表值:HKEY_CURRENT_USER\Control Panel\Desktop\TileWallpaper     数据:0

01:39:49[26]:(阻止)系统操作:设置桌面背景墙纸     图片路径:C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[27]:(阻止)运行程序:C:\Users\Alex\Desktop\ykcol.htm

01:39:49[28]:(阻止)运行程序:C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[29]:(允许)设置文件属性:C:\Users\Alex\Desktop\File_Analysis\File_safe\KekrwTtaL.exe

01:39:49[30]:(允许)获取文件属性:C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp

01:39:49[31]:(允许)移动文件:C:\Users\Alex\Desktop\File_Analysis\File_safe\KekrwTtaL.exe     移动至:C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp

01:39:49[32]:(允许)获取文件属性:

01:39:49[33]:(阻止)移动文件:C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp     移动至:

01:39:49[34]:(阻止)创建进程:cmd.exe /C del /Q /F "C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp"

01:39:49[35]:(允许)程序退出:File_Analysis 行为记录到此为止

File_safe内文件被加密。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
cz100zhengzelin
发表于 2017-10-6 02:29:37 | 显示全部楼层
就我一个双击吗。。。
一覺到天明
发表于 2017-10-6 03:14:32 | 显示全部楼层
本帖最后由 一覺到天明 于 2017-10-6 03:18 编辑
cz100zhengzelin 发表于 2017-10-6 02:29
就我一个双击吗。。。

我也雙擊了
幸好我是在沙盤裡讓它跑
等了幾分鐘 FSP也沒有攔截
這個樣本是我這幾天測試過最危險的一個
其他樣本即便沒有攔截到 程式本身也沒什麼動作
唯獨這個它還真加密了
慶幸我之前想說要測試還是裝個沙盤比較好(跑虛擬機麻煩...)
要不然這次就吃鱉了
独赢缠身
发表于 2017-10-6 08:53:51 | 显示全部楼层
很少见卡巴双击
学雷锋做人
发表于 2017-10-6 12:08:50 | 显示全部楼层
cz100zhengzelin 发表于 2017-10-6 01:09
火绒安全:Kill!双击(虚拟机、无杀毒)——文件被加密。。。exe、dll未被加密。病毒本体不见了。

恢复快 ...

File_safe是安全环境,这个文件夹的权限是完全放开的,这个是完全可以放心的,不会影响实际环境,加密实际环境里的任意一个文件算我的
心醉咖啡
发表于 2017-10-6 15:28:19 | 显示全部楼层
管家

[mw_shl_code=css,true]【扫描信息】

开始时间:2017-10-6 15:27:48
扫描用时:00:00:02
扫描类型:指定位置杀毒
扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
扫描状态:扫描完成


【扫描结果】

扫描文件数:1
发现风险数:1
已处理风险数:1


---------------------
2017-10-6 15:27:52 MD5:095c3b44b66a5cbc7e84407e8bc3a46d F:\浏览器下载\KekrwTtaL\KekrwTtaL.exe [Win32.Trojan.Raas.Auto]  [删除成功]
---------------------
[/mw_shl_code]
一覺到天明
发表于 2017-10-6 22:01:26 | 显示全部楼层
FSP 解壓攔截
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-10-24 08:20 , Processed in 0.042387 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表