123
返回列表 发新帖
楼主: petr0vic
收起左侧

[病毒样本] Exocrypt / XTC ransomware

[复制链接]
1401549491
发表于 2018-5-5 07:46:15 | 显示全部楼层
关调用实时(JIT)调试而不是此对话框的详细信息,
请参见此消息的结尾。

************** 异常文本 **************
System.IO.DirectoryNotFoundException: 未能找到路径“C:\Users\Forged\Desktop\Stuff\C#\Exocrypt XTC v2.0\Exocrypt XTC v2.0\bin\Debug\TestFiles”的一部分。
   在 System.IO.__Error.WinIOError(Int32 errorCode, String maybeFullPath)
   在 System.IO.FileSystemEnumerableIterator`1.CommonInit()
   在 System.IO.FileSystemEnumerableIterator`1..ctor(String path, String originalUserPath, String searchPattern, SearchOption searchOption, SearchResultHandler`1 resultHandler, Boolean checkHost)
   在 System.IO.DirectoryInfo.InternalGetFiles(String searchPattern, SearchOption searchOption)
   在 System.IO.DirectoryInfo.GetFiles()
   在 Exocrypt_XTC_v2._0.exoXxtc.EncryptDir(String d)
   在 Exocrypt_XTC_v2._0.exoXxtc.Form1_Load(Object sender, EventArgs e)
   在 System.Windows.Forms.Form.OnLoad(EventArgs e)
   在 System.Windows.Forms.Form.OnCreateControl()
   在 System.Windows.Forms.Control.CreateControl(Boolean fIgnoreVisible)
   在 System.Windows.Forms.Control.CreateControl()
   在 System.Windows.Forms.Control.WmShowWindow(Message& m)
   在 System.Windows.Forms.Control.WndProc(Message& m)
   在 System.Windows.Forms.ScrollableControl.WndProc(Message& m)
   在 System.Windows.Forms.ContainerControl.WndProc(Message& m)
   在 System.Windows.Forms.Form.WmShowWindow(Message& m)
   在 System.Windows.Forms.Form.WndProc(Message& m)
   在 System.Windows.Forms.Control.ControlNativeWindow.OnMessage(Message& m)
   在 System.Windows.Forms.Control.ControlNativeWindow.WndProc(Message& m)
   在 System.Windows.Forms.NativeWindow.Callback(IntPtr hWnd, Int32 msg, IntPtr wparam, IntPtr lparam)


************** 已加载的程序集 **************
mscorlib
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.NET/Framework/v4.0.30319/mscorlib.dll
----------------------------------------
Exocrypt XTC v2.0
    程序集版本:1.0.0.0
    Win32 版本:1.0.0.0
    基本代码:file:///C:/Users/Administrator/Desktop/exocrypt.exe
----------------------------------------
System.Windows.Forms
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms/v4.0_4.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
----------------------------------------
System
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System/v4.0_4.0.0.0__b77a5c561934e089/System.dll
----------------------------------------
System.Drawing
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Drawing/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
----------------------------------------
System.Configuration
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Configuration/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
----------------------------------------
System.Xml
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Xml/v4.0_4.0.0.0__b77a5c561934e089/System.Xml.dll
----------------------------------------
Accessibility
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/Accessibility/v4.0_4.0.0.0__b03f5f7f11d50a3a/Accessibility.dll
----------------------------------------
System.Core
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Core/v4.0_4.0.0.0__b77a5c561934e089/System.Core.dll
----------------------------------------
mscorlib.resources
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/mscorlib.resources/v4.0_4.0.0.0_zh-Hans_b77a5c561934e089/mscorlib.resources.dll
----------------------------------------
System.Windows.Forms.resources
    程序集版本:4.0.0.0
    Win32 版本:4.7.2053.0 built by: NET47REL1
    基本代码:file:///C:/Windows/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms.resources/v4.0_4.0.0.0_zh-Hans_b77a5c561934e089/System.Windows.Forms.resources.dll
----------------------------------------

************** JIT 调试 **************
要启用实时(JIT)调试,
该应用程序或计算机的 .config 文件(machine.config)的 system.windows.forms 节中必须设置
jitDebugging 值。
编译应用程序时还必须启用
调试。

例如:

<configuration>
    <system.windows.forms jitDebugging="true" />
</configuration>

启用 JIT 调试后,任何未经处理的异常
都将被发送到在此计算机上注册的 JIT 调试程序,
而不是由此对话框处理。


1401549491
发表于 2018-5-5 07:48:13 | 显示全部楼层
打开后什么也没发生

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
头像被屏蔽
发表于 2018-5-5 08:24:14 | 显示全部楼层
真的是个半成品,Debug还没删掉,没有任何行为

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
头像被屏蔽
发表于 2018-5-5 09:14:40 | 显示全部楼层
文件名: exocrypt.exe
威胁名称: Trojan Horse完整路径: x:\users\zry980321\downloads\compressed\exocrypt\exocrypt.exe

____________________________

____________________________


在电脑上 
2018/5/5 ( 9:14:23 )

上次使用时间 
2018/5/5 ( 9:14:23 )

启动项 


已启动 


威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


exocrypt.exe 威胁名称: Trojan Horse
定位


未知
Norton 社区中使用了此文件的用户数未知 。

未知
此文件版本当前 未知。


此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DU5MDY4OHwyMTIxOTc2
已下载文件 从 att.kafan.cn
来源: 外部介质


____________________________

文件操作

文件: x:\users\zry980321\downloads\compressed\exocrypt\ exocrypt.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
3c89
发表于 2018-5-5 10:21:13 | 显示全部楼层


   VirtualBox虚拟机(winXP SP3环境)   在解压包内手动调用目前最新版诺顿NS扫描结果

      样本1   灭掉1  未灭0

                 扫描结论:良好

  附图:
                     

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
3c89
发表于 2018-5-5 11:29:35 | 显示全部楼层
VirtualBox虚拟机(winXP SP3环境)   在解压包内手动调用目前瑞星17扫描结果

      样本1   灭掉1  未灭0

                 扫描结论:良好

附图:
               

   国产的瑞星居然有这等成绩,实属难得

               多年未用瑞星         成绩实属可以......

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
3c89
发表于 2018-5-5 11:31:57 | 显示全部楼层

360现在这样的预警能力   

    提升不少啊
qwert520
发表于 2018-5-5 22:50:37 | 显示全部楼层
eset:MSIL/Filecoder.MZ
心醉咖啡
发表于 2018-5-6 00:56:31 | 显示全部楼层
毒霸

  1. 扫描时间:[2018-05-06 00:55:58]
  2. 扫描用时:[00:00:04]
  3. 扫描类型:自定义查杀
  4. 扫描文件总数:1
  5. 扫描速度:1文件/秒
  6. 发现威胁:1个
  7. 清除威胁:1个
  8. =============================================
  9. [2018-05-06 00:56:07]
  10. 威胁:f:\浏览器下载\exocrypt\exocrypt.exe
  11. 类型:win32.troj.generic_a.a.(kcloud)
  12. 处理方式:删除

复制代码
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 00:02 , Processed in 0.103577 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表