GerberRansom (18.12.07)

显示全部楼层 · 发表于 2018-12-7 21:28:36

海颜贝儿发表于 2018-12-7 21:13
这个帖子的病毒加密桌面我的文档，我也是一个分区

我桌面上也特意放得有文档，测勒索肯定要这样，但没加密，估计逻辑是这样：从D盘开始到最后一个盘符，然后才折回系统盘。。。但我虚拟机里E、F是和主机间的共享文件夹，设置的只读模式，由于无法写入它就会自动中断，弹出勒索信完事。。。14楼就是无法写入被中断了。

显示全部楼层 · 发表于 2018-12-7 21:30:58

www-tekeze 发表于 2018-12-7 21:28
我桌面上也特意放得有文档，测勒索肯定要这样，但没加密，估计逻辑是这样：从D盘开始到最后一个盘符，然 ...

我是放了图片，如果是这样，我需要多放一个分区

显示全部楼层 · 发表于 2018-12-7 21:36:03

海颜贝儿发表于 2018-12-7 21:30
我是放了图片，如果是这样，我需要多放一个分区

真的，我遇到好几个不加密系统盘的，这样动作小点，而且有经验的人都会把My Documents挪到其它盘上。

显示全部楼层 · 发表于 2018-12-7 21:36:44

Trend Micro扫描运行皆MISS锁死文件夹方式成功拦截

显示全部楼层 · 发表于 2018-12-7 21:37:53

GD
双击反勒索kill gerber.exe
gerber1.exe无反应被加密

显示全部楼层 · 发表于 2018-12-7 21:46:21

本帖最后由 whl2606555 于 2018-12-7 21:50 编辑

g data 扫描miss all
运行反勒索全杀

检测到可疑的文件系统访问，这可能是加密木马。
因为安全原因，G DATA已中断如下进程：
----------------------------------------------------------------
C:\Users\whl26\Desktop\Gerber1.exe (PID 5424)
C:\Users\whl26\Desktop\Gerber.exe (PID 13676)
----------------------------------------------------------------
阻止后，如下程序将被移入隔离区：
----------------------------------------------------------------
C:\Users\whl26\Desktop\Gerber1.exe
C:\Users\whl26\Desktop\Gerber.exe
----------------------------------------------------------------
检测到可疑行为：
----------------------------------------------------------------
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\CURRENT_SESSIONS\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\fd13be08b84baa79f7e53eb88763322fab54ecc45de8558d54f836258b54f35b.dat
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\fd13be08b84baa79f7e53eb88763322fab54ecc45de8558d54f836258b54f35b.dat.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\vault.db
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\vault.db.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\CURRENT_SESSIONS\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\DECRYPT.txt.XY6LR
已写： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt
已写： C:\Sandbox\whl26\DefaultBox\drive\D\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\DECRYPT.txt.XY6LR.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\fd13be08b84baa79f7e53eb88763322fab54ecc45de8558d54f836258b54f35b.dat.XY6LR.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\fd13be08b84baa79f7e53eb88763322fab54ecc45de8558d54f836258b54f35b.dat.XY6LR.XY6LR.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\vault.db.XY6LR.XY6LR
已删除： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt.XY6LR.XY6LR
已写： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\DECRYPT.txt
已写： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\CURRENT_SESSIONS\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\CURRENT_SESSIONS\DECRYPT.txt.XY6LR
已删除： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\CURRENT_SESSIONS\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\DECRYPT.txt.XY6LR
已删除： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\DECRYPT.txt.XY6LR.XY6LR.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\fd13be08b84baa79f7e53eb88763322fab54ecc45de8558d54f836258b54f35b.dat.XY6LR.XY6LR.XY6LR.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\vault.db.XY6LR.XY6LR.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt.XY6LR.XY6LR.XY6LR
----------------------------------------------------------------
用户已阻止该操作。

复制代码

检测到可疑的文件系统访问，这可能是加密木马。
因为安全原因，G DATA已中断如下进程：
----------------------------------------------------------------
C:\Users\whl26\Desktop\Gerber1.exe (PID 5424)
----------------------------------------------------------------
阻止后，如下程序将被移入隔离区：
----------------------------------------------------------------
C:\Users\whl26\Desktop\Gerber1.exe
----------------------------------------------------------------
检测到可疑行为：
----------------------------------------------------------------
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$MfeDeepRem\CURRENT_SESSIONS\DECRYPT.txt
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\fd13be08b84baa79f7e53eb88763322fab54ecc45de8558d54f836258b54f35b.dat
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\fd13be08b84baa79f7e53eb88763322fab54ecc45de8558d54f836258b54f35b.dat.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\vault.db
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\vault.db.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\DECRYPT.txt.XY6LR
已创建： C:\Sandbox\whl26\DefaultBox\drive\D\$AV_ASW\$VAULT\DECRYPT.txt.XY6LR
----------------------------------------------------------------
用户已阻止该操作。

复制代码

显示全部楼层 · 发表于 2018-12-7 21:48:25

本帖最后由 www-tekeze 于 2018-12-7 21:51 编辑

gugames 发表于 2018-12-7 21:37
GD
双击反勒索kill gerber.exe
gerber1.exe无反应被加密

Gerber1是由Gerber加UPX壳而来，行为上完全相同，不懂，怎么漏了。。。

问下@whl2606555 @静影沉璧

显示全部楼层 · 发表于 2018-12-7 21:49:35

本帖最后由海颜贝儿于 2018-12-7 21:52 编辑

卡巴斯基扫描全部kill

显示全部楼层 · 发表于 2018-12-7 21:50:29

gugames 发表于 2018-12-7 21:37
GD
双击反勒索kill gerber.exe
gerber1.exe无反应被加密

你用了假的GD？
看我26楼GD全反勒索杀。

显示全部楼层 · 发表于 2018-12-7 21:51:04

www-tekeze 发表于 2018-12-7 21:48
Gerber1是由Gerber加UPX壳而来，行为上完全相同，不懂，怎么漏了。。。

看我26楼测试没漏

[病毒样本] GerberRansom (18.12.07)

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源