Ransom#3 (19.01.13)

显示全部楼层 · 发表于 2019-1-13 16:43:47

Norton剩余“crab.exe”

CCAV 处理Norton剩余样本Kill

显示全部楼层 · 发表于 2019-1-13 16:47:49

本帖最后由 YU2711 于 2019-1-14 01:02 编辑

Trend Micro 扫描双击(crab文件回滚全成功...crab2阻止但没完全成功,1.2文件损毁)

显示全部楼层 · 发表于 2019-1-13 16:51:49

本帖最后由 xmhjnathan 于 2019-1-13 17:22 编辑

卡巴斯基 TS：
实时监控（4/6）+ 完全回滚（1/2）+ 高级清理防御失败，文件大部分丢失少数回滚（1/6）
回滚在各个文件夹产生的加密提示 txt 有点脏就是了。。。

Log:

13.01.2019 16.48.32       Detected object (process memory) deleted       c:\users\nathan\desktop\syrxfn\crab2.exe       Process memory: c:\users\nathan\desktop\syrxfn\crab2.exe       Object name: PDM:Trojan.Win32.Generic       Object type: Trojan program       Time: 1/13/2019 4:48 PM
13.01.2019 16.45.39       Detected object (process memory) deleted       c:\users\nathan\desktop\syrxfn\crab.exe       Process memory: c:\users\nathan\desktop\syrxfn\crab.exe       Object name: PDM:Trojan.Win32.Generic       Object type: Trojan program       Time: 1/13/2019 4:45 PM
13.01.2019 16.44.46       Detected object (file) deleted       C:\Users\Nathan\Desktop\syrxfn\crab3.exe       File: C:\Users\Nathan\Desktop\syrxfn\crab3.exe       Object name: Trojan-Ransom.Win32.Crypmod.aawl       Object type: Trojan program       Time: 1/13/2019 4:44 PM
13.01.2019 16.44.46       Detected object (file) deleted       C:\Users\Nathan\Desktop\syrxfn\crab1.exe       File: C:\Users\Nathan\Desktop\syrxfn\crab1.exe       Object name: Trojan-Ransom.Win32.GandCrypt.hcv       Object type: Trojan program       Time: 1/13/2019 4:44 PM
13.01.2019 16.44.45       Detected object (file) deleted       C:\Users\Nathan\Desktop\syrxfn\badnews1.exe       File: C:\Users\Nathan\Desktop\syrxfn\badnews1.exe       Object name: HEUR:Trojan.Win32.AntiAV       Object type: Trojan program       Time: 1/13/2019 4:44 PM
13.01.2019 16.44.45       Detected object (file) deleted       C:\Users\Nathan\Desktop\syrxfn\badnews.exe       File: C:\Users\Nathan\Desktop\syrxfn\badnews.exe       Object name: HEUR:Trojan.Win32.AntiAV       Object type: Trojan program       Time: 1/13/2019 4:44 PM
13.01.2019 16.33.41       Detected object (system memory) disinfected       System Memory       System memory: System Memory       Object name: MEM:Trojan.Win32.SEPEH.gen       Object type: Trojan program       Time: 1/13/2019 4:33 PM
13.01.2019 16.33.20       Detected object (process memory) deleted

显示全部楼层 · 发表于 2019-1-13 16:52:11

小淘气发表于 2019-1-13 16:43
卡巴斯基也被加密了2018年6月的库还以为主防能回滚呢，在扫描看看的说

你是哪个版本呢，默认设置吗，我这里回滚了

显示全部楼层 · 发表于 2019-1-13 16:54:34

petr0vic 发表于 2019-1-13 16:18
极宝杀毒正式版 V1.2.2

脱壳工程太浩大，没有OD不行啊。。。

显示全部楼层 · 发表于 2019-1-13 16:56:12

xmhjnathan 发表于 2019-1-13 16:52
你是哪个版本呢，默认设置吗，我这里回滚了

我是2018 6.24的库就是半年前的病毒库，虚拟机还是被加密了。

显示全部楼层 · 发表于 2019-1-13 17:04:22

本帖最后由 xmhjnathan 于 2019-1-13 17:33 编辑

BDF：
实时监控（2/6）+ 行为防御完全阻断（2/6）+ 不完全阻断，文件部分丢失（2/6）

Program Files 下的文件容易 GG

显示全部楼层 · 发表于 2019-1-13 17:06:34

小红伞扫描+监控全解决
金山毒霸扫描一个没有

显示全部楼层 · 发表于 2019-1-13 17:12:19

WiseVector 智量：
实时监控（6/6），emmmmm.......

Time             FilePath                                                                                        VirusName
2019-1-13 17:11    C:\Users\Nathan\Desktop\syrxfn\badnews.exe                                                       Heur.ML.PE.B
2019-1-13 17:11    C:\Users\Nathan\Desktop\syrxfn\badnews1.exe                                                       Heur.ML.PE.A
2019-1-13 17:11    C:\Users\Nathan\Desktop\syrxfn\crab.exe                                                          Trojan.Ransom.Generic
2019-1-13 17:11    C:\Users\Nathan\Desktop\syrxfn\crab1.exe                                                          Heur.ML.PE.A
2019-1-13 17:11    C:\Users\Nathan\Desktop\syrxfn\crab2.exe                                                          Heur.ML.PE.B
2019-1-13 17:11    C:\Users\Nathan\Desktop\syrxfn\crab3.exe                                                          Heur.ML.PE.A

显示全部楼层 · 发表于 2019-1-13 17:49:06

小淘气发表于 2019-1-13 16:56
我是2018 6.24的库就是半年前的病毒库，虚拟机还是被加密了。

好吧，我这儿最新版 TS crab2.exe 也跪了

[病毒样本] Ransom#3 (19.01.13)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块