Ransom (18.11.26)

显示全部楼层 · 发表于 2018-11-26 16:04:17

本帖最后由 petr0vic 于 2018-11-26 16:30 编辑

https://my.mixtape.moe/ylsukw.7z

infected

https://www.virustotal.com/en/fi ... 622094878/analysis/
https://s.threatbook.cn/report/f ... p1_enx86_office2013

ext. .*crypted000007

显示全部楼层 · 发表于 2018-11-26 16:13:21

CIS
解壓殺r.exe

雙擊 win10保護

文件評級都為無法識別，r2.exe入沙清掉

显示全部楼层 · 发表于 2018-11-26 16:27:46

火绒

显示全部楼层 · 发表于 2018-11-26 16:32:03

文件名: r.exe
威胁名称: Heur.AdvML.A完整路径: C:\Users\zry\Downloads\Compressed\ylsukw\r.exe

____________________________

____________________________

在电脑上
2018/11/26 ( 16:28:38 )

上次使用时间
2018/11/26 ( 16:30:38 )

启动项
否

已启动
否

威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

r.exe 威胁名称: Heur.AdvML.A
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
r.exe

____________________________

文件操作

文件: C:\Users\zry\Downloads\Compressed\ylsukw\ r.exe 已删除
____________________________

文件指纹 - SHA:
c7319e704624070cc0c6cb97da20b1cafca2e053eca87a1cc1d9ac416970f6c7
文件指纹 - MD5:
f389f0e29e92830b04c68f49f7530c4f

文件名: r2.exe
威胁名称: Ransom.Troldesh完整路径: C:\Users\zry\Downloads\Compressed\ylsukw\r2.exe

____________________________

____________________________

在电脑上
2018/11/26 ( 16:29:21 )

上次使用时间
2018/11/26 ( 16:31:21 )

启动项
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

r2.exe 威胁名称: Ransom.Troldesh
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
r2.exe

____________________________

文件操作

文件: C:\Users\zry\Downloads\Compressed\ylsukw\ r2.exe 已删除
____________________________

文件指纹 - SHA:
94e39e9710ab725aefe4d7dffe3b93e447210e3b322666b9c8d42b3622094878
文件指纹 - MD5:
d478fd0974ab0ce6ea0fed098a15130f

显示全部楼层 · 发表于 2018-11-26 16:36:51

本帖最后由 a1121611810 于 2018-11-26 16:49 编辑

FSP

解压后，监控拦截

文件： r.exe
原因： TR/Crypt.XPACK.Gen4

文件： r2.exe
原因： TR/Crypt.XPACK.94e39e

显示全部楼层 · 发表于 2018-11-26 16:43:36

setinelOne杀一个r2 剩余一个双击拦截

显示全部楼层 · 发表于 2018-11-26 16:46:54

本帖最后由 YU2711 于 2018-11-26 16:49 编辑

Trend Micro Scan Miss All
双击 Blocked All

显示全部楼层 · 发表于 2018-11-26 17:10:37

ESET云杀

2018/11/26 17:08:32 文件系统实时防护文件 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\ylsukw\r2.exe Suspicious Object 通过删除清除 DESKTOP-VPBE70N\zhong 在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (33F1554BA5E9F414C8A7DFD65A5831C513BD2DB2). 825B0FF9867924A83A4A19718032C60762DC1631 2018/11/26 17:08:27
2018/11/26 17:08:27 文件系统实时防护文件 C:\Users\zhong\Downloads\Compressed\VIRUS TEST\卡饭\ylsukw\r.exe Suspicious Object 通过删除清除 DESKTOP-VPBE70N\zhong 在应用程序新建的文件上发生事件: C:\Program Files\WinRAR\WinRAR.exe (33F1554BA5E9F414C8A7DFD65A5831C513BD2DB2). FF693D9051A3E412B8A4FDE9528507E24D824AF0 2018/11/26 17:08:21

复制代码

显示全部楼层 · 发表于 2018-11-26 17:30:28

KIS2019

26.11.2018 17.29.18;偵測到的物件 ( 檔案 ) 已刪除;C:\Users\Use\Desktop\r.exe;C:\Users\Use\Desktop\r.exe;UDS:Trojan-Ransom.Win32.Shade.a;木馬程式;11/26/2018 17:29:18
26.11.2018 16.59.55;偵測到的物件 ( 檔案 ) 已刪除;C:\Users\Use\Documents\EGDownloads\ylsukw\r2.exe;C:\Users\Use\Documents\EGDownloads\ylsukw\r2.exe;VHO:Trojan-Ransom.Win32.Shade.pdb;木馬程式;11/26/2018 16:59:55

复制代码

显示全部楼层 · 发表于 2018-11-26 17:34:26

gdata扫描miss 双击没敢试

[病毒样本] Ransom (18.11.26)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源