Exocrypt / XTC ransomware

petr0vic

infected

https://www.virustotal.com/en/fi ... 525445449/#analysis
https://s.threatbook.cn/report/f ... p1_enx86_office2013

Jerry.Lin

Malwarebytes  Trojan.FileCryptor

aboringman

Dr.Web：miss.

实机双击，DPH被过，但程序疑似自己崩溃了，我看了一下也没有发现有被加密的文件。。。。。。

上报。

2605276004x

360miss,360box，双击，报错，什么都没加密，KART未响应

pal家族

卡巴miss
双击，弹出勒索窗口，但是加密失败，
有关调用实时(JIT)调试而不是此对话框的详细信息，
请参见此消息的结尾。


************** 异常文本 **************
System.IO.DirectoryNotFoundException: 未能找到路径“C:\Users\Forged\Desktop\Stuff\C#\Exocrypt XTC v2.0\Exocrypt XTC v2.0\bin\Debug\TestFiles”的一部分。
   在 System.IO.__Error.WinIOError(Int32 errorCode, String maybeFullPath)
   在 System.IO.FileSystemEnumerableIterator`1.CommonInit()
   在 System.IO.FileSystemEnumerableIterator`1..ctor(String path, String originalUserPath, String searchPattern, SearchOption searchOption, SearchResultHandler`1 resultHandler, Boolean checkHost)
   在 System.IO.DirectoryInfo.InternalGetFiles(String searchPattern, SearchOption searchOption)
   在 System.IO.DirectoryInfo.GetFiles()
   在 Exocrypt_XTC_v2._0.exoXxtc.EncryptDir(String d)
   在 Exocrypt_XTC_v2._0.exoXxtc.Form1_Load(Object sender, EventArgs e)
   在 System.Windows.Forms.Form.OnLoad(EventArgs e)
   在 System.Windows.Forms.Form.OnCreateControl()
   在 System.Windows.Forms.Control.CreateControl(Boolean fIgnoreVisible)
   在 System.Windows.Forms.Control.CreateControl()
   在 System.Windows.Forms.Control.WmShowWindow(Message& m)
   在 System.Windows.Forms.Control.WndProc(Message& m)
   在 System.Windows.Forms.ScrollableControl.WndProc(Message& m)
   在 System.Windows.Forms.Form.WmShowWindow(Message& m)
   在 System.Windows.Forms.Form.WndProc(Message& m)
   在 System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m)
   在 System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
   在 System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)




************** 已加载的程序集 **************
mscorlib
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.NET/Framework/v4.0.30319/mscorlib.dll
----------------------------------------
Exocrypt XTC v2.0
    程序集版本:1.0.0.0
    Win32 版本:1.0.0.0
    基本代码:file:///D:/360%E6%9E%81%E9%80%9F%E6%B5%8F%E8%A7%88%E5%99%A8%E4%B8%8B%E8%BD%BD/exocrypt.exe
----------------------------------------
System.Windows.Forms
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms/v4.0_4.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
----------------------------------------
System
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System/v4.0_4.0.0.0__b77a5c561934e089/System.dll
----------------------------------------
System.Drawing
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Drawing/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
----------------------------------------
System.Configuration
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Configuration/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
----------------------------------------
System.Core
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Core/v4.0_4.0.0.0__b77a5c561934e089/System.Core.dll
----------------------------------------
System.Xml
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Xml/v4.0_4.0.0.0__b77a5c561934e089/System.Xml.dll
----------------------------------------
mscorlib.resources
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/mscorlib.resources/v4.0_4.0.0.0_zh-Hans_b77a5c561934e089/mscorlib.resources.dll
----------------------------------------
System.Windows.Forms.resources
    程序集版本:4.0.0.0
    Win32 版本:4.7.3056.0 built by: NET472REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms.resources/v4.0_4.0.0.0_zh-Hans_b77a5c561934e089/System.Windows.Forms.resources.dll
----------------------------------------


************** JIT 调试 **************
要启用实时(JIT)调试，
该应用程序或计算机的 .config 文件(machine.config)的 system.windows.forms 节中必须设置
jitDebugging 值。
编译应用程序时还必须启用
调试。


例如:


<configuration>
    <system.windows.forms jitDebugging="true" />
</configuration>


启用 JIT 调试后，任何未经处理的异常
都将被发送到在此计算机上注册的 JIT 调试程序，
而不是由此对话框处理。

petr0vic

pal家族 发表于 2018-5-4 23:03
卡巴miss
双击，弹出勒索窗口，但是加密失败，系统提示.net错误。。。噗！！！！

install .net

x291502676

麦咖啡入库杀

pal家族

petr0vic 发表于 2018-5-4 23:04
install .net

看错了，不是net，已经修改帖子。你看看是啥
win10自带net的。

pal家族

I feel it is not a final version.

温馨小屋

BD：Generic.Ransom.Hiddentear.A.65443982
第一次见如此长的报毒名。。。