新版勒索病毒-2018-7-25

B100D1E55

www-tekeze 发表于 2018-7-25 10:52
从智量报毒看是流式更新拉黑了，是不是提取的基因码？会不会是误报有点可疑。    @智量官方

这个文件本身只是个自解压，里面是个白安装包……只不过楼主加了个命令让其解压的时候顺带下载服务器上的恶意程序并运行。本质上来说在定性下载链接是恶意之前报毒不妥（不能保证就有人喜欢用这种方法下载一个白文件并运行，直接查杀过于激进），传播广度大有拉黑这个文件或者URL的价值，否则只要能查杀下载下来的恶意程序即可。当然有的表层机器学习很爱搞这种车祸，学了sfx的样子就连加密的白sfx都敢报毒。
而智量应该是拉黑，至于是手动拉黑还是自动拉黑我就不知道了

TheYuCheng

www-tekeze 发表于 2018-7-25 11:02
沙盘里双击被火绒报勒索，病毒无疑。。     @丶鍇児、

怎么是cerber

www-tekeze

TheYuCheng 发表于 2018-7-25 11:07
怎么是cerber

敲诈者是勒索的一个分支。。

www-tekeze

B100D1E55 发表于 2018-7-25 11:04
这个文件本身只是个自解压，里面是个白安装包……只不过楼主加了个命令让其解压的时候顺带下载服务器上的 ...

嗯，提前报是比较激进，象火绒是扫描不报，双击行为出来后才报。。

Dolby123

SCEP

Trojan:Win32/Fuerboos.E!cl

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
file:C:\Users\Administrator\Desktop\OK.exe


================================

伪Flash Player 安装包 （xiaoba ransomware 2.0)

hxxp://dwz.cn/8QPpNa7c

Trojan:Win32/Fuerboos.C!cl

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
file:C:\Users\Administrator\Desktop\install_flash_player.exe

Geralt

MSE
Published Sep 29, 2017
Updated Jun 12, 2018
Trojan:Win32/Fuerboos.E!cl

猥琐大叔

www-tekeze 发表于 2018-7-25 11:11
嗯，提前报是比较激进，象火绒是扫描不报，双击行为出来后才报。。

分区里面有没有一个应用程序

ATP_synthase

www-tekeze

猥琐大叔 发表于 2018-7-25 11:18
分区里面有没有一个应用程序

有，TEMP里，但很快自删除，没沙盘还提取不了。。

www-tekeze

B100D1E55 发表于 2018-7-25 11:04
这个文件本身只是个自解压，里面是个白安装包……只不过楼主加了个命令让其解压的时候顺带下载服务器上的 ...

B大，火绒报毒窗口里有：感染文件 install_flash_player.exe，那是不是这个安装包已被动了手脚，并不是个白安装包？