收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 转自吾爱破解论坛的勒索病毒
12345下一页
返回列表 发新帖
楼主: c/mm
 收起左侧

[病毒样本] 转自吾爱破解论坛的勒索病毒

  [复制链接]
YU2711
发表于 2018-9-15 21:07:13 | 显示全部楼层
本帖最后由 YU2711 于 2018-9-15 21:10 编辑

KIS19泰哥多功能助手\泰哥多功能助手.exe//#;C:\Users\Use\Documents\EGDownloads\泰哥多功能助手\泰哥多功能助手.exe//#;Trojan-Ransom.Win32.Foreign.naew
泰哥多功能助手\泰哥多功能助手.exe;C:\Users\Use\Documents\EGDownloads\泰哥多功能助手\泰哥多功能助手.exe;HEUR:Trojan.Win32.Generic


回复

举报

www-tekeze
发表于 2018-9-15 21:12:01 | 显示全部楼层

火绒、智量均杀。。。火绒做过通杀,但报的不是勒索。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心痛的伤不起
发表于 2018-9-15 21:13:31 | 显示全部楼层
YU2711 发表于 2018-9-15 21:07
KIS19泰哥多功能助手\泰哥多功能助手.exe//#;C:%users%use\Documents\EGDownloads\泰哥多功能助手\泰哥多功 ...

我这边没动静啊。嘛的卡巴这毛病真受不了了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

心痛的伤不起
发表于 2018-9-15 21:16:13 | 显示全部楼层
YU2711 发表于 2018-9-15 21:07
KIS19泰哥多功能助手\泰哥多功能助手.exe//#;C:%users%use\Documents\EGDownloads\泰哥多功能助手\泰哥多功 ...

卡巴是有几个报毒名啊HEUR:Packed.Win32.Vemply.gen,还有不报的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dongwenqi
发表于 2018-9-15 21:35:55 | 显示全部楼层
y3312068 发表于 2018-9-15 21:16
卡巴是有几个报毒名啊HEUR:Packed.Win32.Vemply.gen,还有不报的

卡巴报毒HEUR:Packed.Win32.Vemply.gen
回复

举报

www-tekeze
发表于 2018-9-15 21:36:33 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-9-15 21:38 编辑
www-tekeze 发表于 2018-9-15 21:12
火绒、智量均杀。。。火绒做过通杀,但报的不是勒索。

不是勒索,是个烈性病毒,如果中招,重装是必须的,火绒最终主防报毒,但此时晚了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

c/mm
头像被屏蔽
 楼主| 发表于 2018-9-15 21:54:49 | 显示全部楼层
本帖最后由 c/mm 于 2018-9-15 21:56 编辑

大蜘蛛扫描MISS   WIN10 1803  64位实机双击虽然拦截不到位的地方  但是1分钟关闭电脑后开机还算一切正常 为了演示文件名字更改为222222222222222.EXE


   





事件注册表相关拦截
Preventive Protection event: Change protected value
id: 4832, timestamp: 21:33:33.518, type: RegSetValue (14), flags: 1 (wait: 1)
sid: S-1-5-21-1330110338-2855936389-87448162-1001, cid: 6568/5628:\Device\HarddiskVolume4\Users\cbwf5\Desktop\111111111\2222222222222222222222222222.exe
context: start addr: 0xe6e942, image: 0x400000:\Device\HarddiskVolume4\Users\cbwf5\Desktop\111111111\2222222222222222222222222222.exe
  hips: type: 9, action: deny [5]
  cmd: "C:\Users\cbwf5\Desktop\111111111\2222222222222222222222222222.exe"
  fileinfo: size: 5410816, easize: 40, attr: 0x20, buildtime: 13.09.2018 16:41:26.000, ctime: 15.09.2018 20:10:27.832, atime: 15.09.2018 21:30:56.840, mtime: 13.09.2018 16:46:32.151, descr: 泰哥多功能助手, ver: 1.0.0.0, company: 1, oname:
  hash: 2fd243a14615b570deeeed073af0946181b9cb9b status: unsigned, pe32, new_pe / unsigned / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\Classes\exefile\DefaultIcon, access: 0x0
  value: , type: sz
current content:
00000000: 25 00 31 00 00 00                               %.1...
new content:
00000000: 43 00 3a 00 5c 00 77 00 69 00 6e 00 64 00 6f 00 C.:.\.w.i.n.d.o.
00000010: 77 00 73 00 5c 00 53 00 79 00 73 00 57 00 6f 00 w.s.\.S.y.s.W.o.
00000020: 77 00 36 00 34 00 5c 00 31 00 2e 00 69 00 63 00 w.6.4.\.1...i.c.
00000030: 6f 00 00 00                                     o...
send user blocked alert
id: 4832 ==> denied [5], time: 0.358769 ms


id: 4495, timestamp: 21:33:21.979, type: RegSetValue (14), flags: 1 (wait: 1)
sid: S-1-5-21-1330110338-2855936389-87448162-1001, cid: 6568/5628:\Device\HarddiskVolume4\Users\cbwf5\Desktop\111111111\2222222222222222222222222222.exe
context: start addr: 0xe6e942, image: 0x400000:\Device\HarddiskVolume4\Users\cbwf5\Desktop\111111111\2222222222222222222222222222.exe
  hips: type: 12, action: ask [0]
  cmd: "C:\Users\cbwf5\Desktop\111111111\2222222222222222222222222222.exe"
  fileinfo: size: 5410816, easize: 40, attr: 0x20, buildtime: 13.09.2018 16:41:26.000, ctime: 15.09.2018 20:10:27.832, atime: 15.09.2018 21:30:56.840, mtime: 13.09.2018 16:46:32.151, descr: 泰哥多功能助手, ver: 1.0.0.0, company: 1, oname:
  hash: 2fd243a14615b570deeeed073af0946181b9cb9b status: unsigned, pe32, new_pe / unsigned / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run, access: 0x0
  value: System, type: sz
new content:
00000000: 43 00 3a 00 5c 00 50 00 72 00 6f 00 67 00 72 00 C.:.\.P.r.o.g.r.
00000010: 61 00 6d 00 20 00 46 00 69 00 6c 00 65 00 73 00 a.m. .F.i.l.e.s.
00000020: 5c 00 53 00 79 00 73 00 74 00 65 00 6d 00 2e 00 \.S.y.s.t.e.m...
00000030: 64 00 6c 00 6c 00 00 00                         d.l.l...
send user alert and wait action...
user selected action: deny [5]
id: 4495 ==> denied [5], time: 9418.672809 ms







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

YU2711
发表于 2018-9-15 21:57:18 | 显示全部楼层
y3312068 发表于 2018-9-15 21:16
卡巴是有几个报毒名啊HEUR:Packed.Win32.Vemply.gen,还有不报的

扫描的等级高低的原因
回复

举报

www-tekeze
发表于 2018-9-15 22:05:27 | 显示全部楼层
c/mm 发表于 2018-9-15 21:54
大蜘蛛扫描MISS   WIN10 1803  64位实机双击虽然拦截不到位的地方  但是1分钟关闭电脑后开机还算一切正常  ...

根本不是蜘蛛的功劳,最主要是bug10的功劳,另外你的登录用户相信不是管理员,否则。。
回复

举报

c/mm
头像被屏蔽
 楼主| 发表于 2018-9-15 22:08:39 | 显示全部楼层
本帖最后由 c/mm 于 2018-9-15 23:34 编辑
www-tekeze 发表于 2018-9-15 22:05
根本不是蜘蛛的功劳,最主要是bug10的功劳,另外你的登录用户相信不是管理员,否则。。

你说的管理员是那个最高ADMIN?正常安装的都不会用那个用户,盗版中奖的话微软明确表明这样做具有危险性质,用户自己不听讲微软是不会背锅的,固执的俄罗斯工程师肯定会说:你装了盗版GG 还有理由?
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 11:24 , Processed in 0.123527 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表