Ransom(js)（18.06.26）

显示全部楼层 · 发表于 2018-6-26 16:38:26

火绒，扫描miss

显示全部楼层 · 发表于 2018-6-26 16:40:17

Cuckoo Sandbox

11.8 out of 10[color=inherit !important]

显示全部楼层 · 发表于 2018-6-26 16:58:15

HIPS拦截，被终止

显示全部楼层 · 发表于 2018-6-26 18:40:58

本帖最后由 wusiyuanjh 于 2018-6-26 19:00 编辑

dreams521 发表于 2018-6-26 16:24
在防病毒数据库中未找到有关指定文件的信息：
2.js

我沙盘双击，打开了Excel，后台有进程一直占用CPU和读写硬盘，有发现加密行为，发现勒索信，卡巴不报，不过在日志里发现了卡巴其实是检测到了，但是没有触发回滚，也没弹窗
勒索信内容：Если хотите вернуть ваши файлы отправьте один небольшой архив и файл KEY.VL на e-mail: un92@protonmail.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер TOR
и с его помощью зайдите на сайт: http://n3r2kuzhw2h7x6j5.onion - там будет указан действующий почтовый ящик.
Пароль для архива состоит более чем из 50 символов. На самостоятельный подбор уйдёт не один год.
机翻：如果你想把你的文件退还一个小档案和E-mail:un92@bitonmail.com。

如果你在一天内没有收到回复，请从www.torprojec.con TOR浏览器上下载。

在网站：http://n3r2kuajw2h7x6j5.onion.将被指定为一个有效的邮箱。

档案的密码是超过50个字符。一个独立的选集将不是一年。

显示全部楼层 · 发表于 2018-6-26 18:59:03

Dr.Web 扫描miss

显示全部楼层 · 发表于 2018-6-26 19:38:32

wusiyuanjh 发表于 2018-6-26 18:40
我沙盘双击，打开了Excel，后台有进程一直占用CPU和读写硬盘，有发现加密行为，发现勒索信，卡巴不报，不 ...

ROGER

显示全部楼层 · 发表于 2018-6-26 20:20:28

扫描结果
======================
高危风险项
----------------------
D:\360极速浏览器下载\kasgmr\2.js virus.js.qexvmc.1 已删除

显示全部楼层 · 发表于 2018-6-26 21:40:02

，就一个. 发表于 2018-6-26 16:08
双击WD云杀

scep scan miss yet

显示全部楼层 · 发表于 2018-6-27 09:24:18

太古汇聚发表于 2018-6-26 16:58
HIPS拦截，被终止

这行为到底是调用还是注入呢？为毛要启用QQ拼音服务。。。难道是调用他给自己加服务？

显示全部楼层 · 发表于 2018-6-27 09:42:43

cloud01 发表于 2018-6-27 09:24
这行为到底是调用还是注入呢？为毛要启用QQ拼音服务。。。难道是调用他给自己加服务？

没有具体析行为，可能要跑下去看看，或者直接反汇编，后台QQ拼音服务一直在，可能是调用吧，病毒主要是加密文件。

[病毒样本] Ransom(js)（18.06.26）

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块