使用GnuPG加密的勒索软件

显示全部楼层 · 发表于 2018-4-25 17:05:17

这款勒索软件使用GunPG来加密数据，关闭系统的自动修复功能，修改引导配置，删除卷影，详细的行为可以参考微步的分析结果
f5cd435ea9a1c9b7ec374ccbd08cc6c4ea866bcdc438ea8f1523251966c6e88b
2762a7eadb782d8a404ad033144954384be3ed11e9714c468c99f0d3df644ef5
39c510bc504a647ef8fa1da8ad3a34755a762f1be48e200b9ae558a41841e502

显示全部楼层 · 发表于 2018-4-25 17:35:47

火绒

显示全部楼层 · 发表于 2018-4-25 18:42:38

咖啡全部阻断下载

显示全部楼层 · 发表于 2018-4-25 22:17:48

Malwarebytes

File: 6
Ransom.FileCryptor, C:\USERS\JEFF6\APPDATA\ROAMING\Microsoft\Windows\Recent\f5cd435ea9a1c9b7ec374ccbd08cc6c4ea866bcdc438ea8f1523251966c6e88b.lnk, No Action By User, [3918], [495746],1.0.4872
Ransom.FileCryptor, E:\VIRUS\F5CD435EA9A1C9B7EC374CCBD08CC6C4EA866BCDC438EA8F1523251966C6E88B, No Action By User, [3918], [495746],1.0.4872
Ransom.GPGQwerty, C:\USERS\JEFF6\APPDATA\ROAMING\Microsoft\Windows\Recent\39c510bc504a647ef8fa1da8ad3a34755a762f1be48e200b9ae558a41841e502.lnk, No Action By User, [10709], [502172],1.0.4872
Ransom.GPGQwerty, E:\VIRUS\39C510BC504A647EF8FA1DA8AD3A34755A762F1BE48E200B9AE558A41841E502, No Action By User, [10709], [502172],1.0.4872
Ransom.GPGQwerty, C:\USERS\JEFF6\APPDATA\ROAMING\Microsoft\Windows\Recent\2762a7eadb782d8a404ad033144954384be3ed11e9714c468c99f0d3df644ef5.lnk, No Action By User, [10709], [507064],1.0.4872
Ransom.GPGQwerty, E:\VIRUS\2762A7EADB782D8A404AD033144954384BE3ED11E9714C468C99F0D3DF644EF5, No Action By User, [10709], [507064],1.0.4872

显示全部楼层 · 发表于 2018-4-25 23:54:23

本帖最后由 761773275 于 2018-4-25 23:56 编辑

TrustPort 扫描检出3个(全杀)

C:\Users\1928530784\Desktop\2762a7eadb782d8a404ad033144954384be3ed11e9714c468c99f0d3df644ef5	已感染!	Trojan.GenericKD.30374659 (Xenon)	已刪除
C:\Users\1928530784\Desktop\f5cd435ea9a1c9b7ec374ccbd08cc6c4ea866bcdc438ea8f1523251966c6e88b.exe	已感染!	Trojan.GenericKD.40154240 (Xenon)	已刪除
C:\Users\1928530784\Desktop\39c510bc504a647ef8fa1da8ad3a34755a762f1be48e200b9ae558a41841e502	已感染!	Trojan.GenericKD.30376590 (Xenon)	已刪除

[病毒样本] 使用GnuPG加密的勒索软件

本帖子中包含更多资源