楼主: 给我手带你走
收起左侧

[病毒样本] 最新样本过360卫士和火绒

  [复制链接]
给我手带你走
 楼主| 发表于 2018-8-17 19:02:56 | 显示全部楼层
重装了 ,也装了个NIS这个估计没问题了 ,一般的病毒进不来了
wowocock
发表于 2018-8-17 19:12:12 | 显示全部楼层
静影沉璧 发表于 2018-8-17 16:52
BD2019 扫描miss
虚拟机里以管理员身份运行竟然直接过ATD……

感觉很眼熟。
https://bbs.kafan.cn/thread-2117316-2-1.html
静影沉璧
发表于 2018-8-17 19:13:48 | 显示全部楼层
wowocock 发表于 2018-8-17 19:12
感觉很眼熟。
https://bbs.kafan.cn/thread-2117316-2-1.html

QQ号不一样,八成是一个组织出的。。。
wowocock
发表于 2018-8-17 19:19:38 | 显示全部楼层
静影沉璧 发表于 2018-8-17 19:13
QQ号不一样,八成是一个组织出的。。。

测试了下,一样的结果,用我的fixransommbr 在WINPE下修复即可。
静影沉璧
发表于 2018-8-17 19:21:32 | 显示全部楼层
wowocock 发表于 2018-8-17 19:19
测试了下,一样的结果,用我的fixransommbr 在WINPE下修复即可。

感谢解答!
chenrui19930
发表于 2018-8-17 19:23:31 | 显示全部楼层
Hybrid 行为分析报告:

Writes to the primary disk partition (DR0)

details
    "<Input Sample>" wrote 512 bytes to file "\DEVICE\HARDDISK0\DR0" (Byte Offset: 0)



https://www.hybrid-analysis.com/ ... c7b7ca3e167f3038644
chenrui19930
发表于 2018-8-17 19:27:02 | 显示全部楼层
静影沉璧 发表于 2018-8-17 19:13
QQ号不一样,八成是一个组织出的。。。

还留下了自己的网址,貌似,可以去探测一下?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wowocock
发表于 2018-8-17 19:27:19 | 显示全部楼层

这种勒索,都能修复没什么可怕的,比较的可恶的是彩虹猫系列,直接给你破坏。最新的是2018-8-11更新的一版,除了360和卡巴,全过。除了破坏MBR分区外,还做镜像劫持,即使恢复MBR和分区表也进不了系统。需要在WINPE下清除那些镜像劫持才行,非常可恶。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
"Debugger"="rekt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\logonui.exe]
"Debugger"="rekt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe]
"Debugger"="rekt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
"Debugger"="rekt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shutdown.exe]
"Debugger"="rekt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe]
"Debugger"="rekt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="rekt.exe"
www-tekeze
发表于 2018-8-17 19:38:55 | 显示全部楼层
给我手带你走 发表于 2018-8-17 17:05
就是这样  作者要40刀解封  我感觉是在骗人,最恨的是 火绒没有一点反映

就一个写MBR的动作,太单一主防无法拦截,除非事先入库。。。如果勾选系统加固里的“写磁盘保留扇区”,轻松就能拦截,但火绒默认设置不勾选,楼主成了牺牲品。。    @火绒工程师

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-8-17 19:40:28 | 显示全部楼层
wowocock 发表于 2018-8-17 19:27
这种勒索,都能修复没什么可怕的,比较的可恶的是彩虹猫系列,直接给你破坏。最新的是2018-8-11更新的一 ...

老大,放个彩虹猫样本来玩玩。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 03:31 , Processed in 0.097468 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表