【Ransom】KekrwTtaL.exe 10.05

一覺到天明

FSP 掃描miss DG也miss
測試這些勒索程式 沒裝個虛擬機或沙盤還真是危險

cz100zhengzelin

火绒安全：Kill！双击(虚拟机、无杀毒)——文件被加密。。。exe、dll未被加密。病毒本体不见了。

恢复快照，File_Analysis分析：

01:38:56[1]：(允许)程序启动：File_Analysis 行为记录成功开启   规则版本：1.8.0.0

01:39:45[2]：(允许)读取文件：C:\Windows\system32\rsaenh.dll     访问权限：-2147483648

01:39:45[3]：(允许)打开内核对象：\\.\PIPE\lsarpc(物理设备)

01:39:45[4]：(允许)打开内核对象：\\.\VBoxGuest(物理设备)

01:39:45[5]：(允许)打开内核对象：\\.\VBoxMiniRdrDN(物理设备)

01:39:45[6]：(允许)打开内核对象：\\.\PIPE\wkssvc(物理设备)

01:39:45[7]：(允许)打开内核对象：\\.\PIPE\DAV RPC SERVICE(物理设备)

01:39:45[8]：(允许)打开内核对象：\\.\VBoxMiniRdrDN(物理设备)

01:39:46[13]：(允许)打开内核对象：\\.\PIPE\DAV RPC SERVICE(物理设备)

01:39:46[14]：(安全环境)查找文件：c:\*

01:39:48[15]：(允许)获取文件属性：C:\Users\Alex\Desktop

01:39:49[16]：(允许)获取文件属性：C:\Users\Alex\AppData\Roaming

01:39:49[17]：(允许)获取文件属性：C:\Users\Alex\Desktop\ykcol.htm

01:39:49[18]：(安全环境)查找文件：C:\Users\Alex\Desktop\ykcol.htm

01:39:49[19]：(安全环境)写入文件：C:\Users\Alex\Desktop\ykcol.htm     访问权限：-1073741824

01:39:49[20]：(允许)获取文件属性：C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[21]：(安全环境)查找文件：C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[22]：(允许)读取文件：C:\Windows\Fonts\staticcache.dat     访问权限：-2147483648

01:39:49[23]：(安全环境)写入文件：C:\Users\Alex\Desktop\ykcol.bmp     访问权限：-1073741824

01:39:49[24]：(阻止)写注册表值：HKEY_CURRENT_USER\Control Panel\Desktop\WallpaperStyle     数据：0

01:39:49[25]：(阻止)写注册表值：HKEY_CURRENT_USER\Control Panel\Desktop\TileWallpaper     数据：0

01:39:49[26]：(阻止)系统操作：设置桌面背景墙纸     图片路径：C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[27]：(阻止)运行程序：C:\Users\Alex\Desktop\ykcol.htm

01:39:49[28]：(阻止)运行程序：C:\Users\Alex\Desktop\ykcol.bmp

01:39:49[29]：(允许)设置文件属性：C:\Users\Alex\Desktop\File_Analysis\File_safe\KekrwTtaL.exe

01:39:49[30]：(允许)获取文件属性：C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp

01:39:49[31]：(允许)移动文件：C:\Users\Alex\Desktop\File_Analysis\File_safe\KekrwTtaL.exe     移动至：C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp

01:39:49[32]：(允许)获取文件属性：

01:39:49[33]：(阻止)移动文件：C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp     移动至：

01:39:49[34]：(阻止)创建进程：cmd.exe /C del /Q /F "C:\Users\Alex\AppData\Local\Temp\sysB0C8.tmp"

01:39:49[35]：(允许)程序退出：File_Analysis 行为记录到此为止

File_safe内文件被加密。

cz100zhengzelin

就我一个双击吗。。。

一覺到天明

cz100zhengzelin 发表于 2017-10-6 02:29
就我一个双击吗。。。

我也雙擊了
幸好我是在沙盤裡讓它跑
等了幾分鐘 FSP也沒有攔截
這個樣本是我這幾天測試過最危險的一個
其他樣本即便沒有攔截到 程式本身也沒什麼動作
唯獨這個它還真加密了
慶幸我之前想說要測試還是裝個沙盤比較好（跑虛擬機麻煩...）
要不然這次就吃鱉了

独赢缠身

很少见卡巴双击

学雷锋做人

cz100zhengzelin 发表于 2017-10-6 01:09
火绒安全：Kill！双击(虚拟机、无杀毒)——文件被加密。。。exe、dll未被加密。病毒本体不见了。

恢复快 ...

File_safe是安全环境，这个文件夹的权限是完全放开的，这个是完全可以放心的，不会影响实际环境，加密实际环境里的任意一个文件算我的

心醉咖啡

管家

[mw_shl_code=css,true]【扫描信息】

开始时间:2017-10-6 15:27:48
扫描用时:00:00:02
扫描类型:指定位置杀毒
扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
扫描状态:扫描完成


【扫描结果】

扫描文件数:1
发现风险数:1
已处理风险数:1


---------------------
2017-10-6 15:27:52 MD5:095c3b44b66a5cbc7e84407e8bc3a46d F:\浏览器下载\KekrwTtaL\KekrwTtaL.exe [Win32.Trojan.Raas.Auto]  [删除成功]
---------------------
[/mw_shl_code]

一覺到天明

FSP 解壓攔截