新中的勒索病毒

qq1094250746

已在该网站上发现一个 可疑文件/形式 。 已阻止对该网站的访问。
请求的 URL：                https://att.kafan.cn/forum.php?m[img]od=attachment&aid=MzAxMzI4MXxhNDBmZmZlMHwxNTM5OTEyMjIxfDEwNDYxMzZ8MjEzNDcyNw%3D%3D
信息：                是 TR/Hermes.iznpw 特洛伊木马

www-tekeze

智量官方 发表于 2018-10-19 08:42
此恶意程序具有有效的数字签名，目前来看智量对于具备有效数字签名的程序还是太宽容了一点，威胁敏感值调 ...

我就奇怪怎么两个都检不出来，还以为楼主样本发错了，原来是数签的锅。。。火绒只是对有数签的，默认设置时联网会自动放行 (当然我自己取消了勾选) ，但其它还是以行为判断为准，不受数签影响。。。
官人，这两个勒索破坏性极大，赶紧完善吧，这次的跟头可摔大了。。

www-tekeze

winqq 发表于 2018-10-19 05:37
comodo都报了，智量没报

看30楼的官人解释，被数签给骗了 (报毒阀值调得太高) 。。

智量官方

www-tekeze 发表于 2018-10-19 10:09
我就奇怪怎么两个都检不出来，还以为楼主样本发错了，原来是数签的锅。。。火绒只是对有数签的，默认设置 ...

对于犯罪分子来说，要弄一个合法数字签名成本也是比较高的， 毕竟这个数签生存不了多久，所以目前像此类的在野样本并不多。对此类样本实际拼的是捕获和入库速度，这一点智量在不断提高，另外智量即将加入智慧主防里有勒索和漏洞防御，可防住此类样本

www-tekeze

ashdisp 发表于 2018-10-18 20:08
我服务器前天中的招，远程弱密码，被攻破后传过来的2个都被拦了。c盘没有任何损失，其他盘的数据库也是正 ...

你说“被攻破后传过来的2个都被拦了”，指的是被火绒的“漏洞攻击防御”拦下的吧？这两个勒索并没真正运行？

www-tekeze

智量官方 发表于 2018-10-19 10:46
对于犯罪分子来说，要弄一个合法数字签名成本也是比较高的， 毕竟这个数签生存不了多久，所以目前像此类 ...

言之有理。。。对这个智慧主防很期盼，加油！

ashdisp

www-tekeze 发表于 2018-10-19 10:48
你说“被攻破后传过来的2个都被拦了”，指的是被火绒的“漏洞攻击防御”拦下的吧？这两个勒索并没真正运 ...

这两个被拦截了，但除c盘其他盘还是中毒了，所以在这之前应该还有没被拦截的运行过了，然后被攻击者删除了。。不知为啥其他盘的mdf、ldf数据库文件都正常的，难道是火绒拦截了？

www-tekeze

ashdisp 发表于 2018-10-19 13:56
这两个被拦截了，但除c盘其他盘还是中毒了，所以在这之前应该还有没被拦截的运行过了，然后被攻击者删除 ...

前面我说过了，wwduk刚运行就会被主防拦截，但Cas784不行，这个是从最后一个盘开始加密，从你给的日志看，最终虽被主防杀了，但此时已加密到C盘了，触发了勒索诱饵，系统盘保住但其它盘就遭殃了。。。那些数据库文件没被加密，相信是这个勒索本身不加密这种类型的，因为不是个人文档，没太大价值吧。

xique666

拒绝访问
无法访问该网页

对象网址:

https://att.kafan.cn/forum.php?mo ... jN8MjEzNDcyNw%3D%3D
原因: 对象被感染 UDS:Trojan-Ransom.Win32.Cryptor.sb

消息生成时间: 2018/10/19 14:59:42

记录微笑

病毒: Trojan.GenericKD.40618935, Gen:Variant.Strictor.175163 (引擎A)

下载网页内容时发现病毒。

地址: https://att.kafan.cn/forum.php?mo ... Dk2ODc5NnwyMTM0NzI3
状态：         访问被拒绝。