Ransom #4 (19.01.21)

显示全部楼层 · 发表于 2019-1-21 21:36:34

智量Heur清空，火绒kill 2X，待会双击。。

显示全部楼层 · 发表于 2019-1-21 21:38:51

ESET 清空！

显示全部楼层 · 发表于 2019-1-21 22:20:19

www-tekeze 发表于 2019-1-21 21:36
智量Heur清空，火绒kill 2X，待会双击。。

1屏幕保护程序，会调用powershell、添加自启、联网等，全部放行，先被规则拦截然后被主防报勒索！

显示全部楼层 · 发表于 2019-1-21 22:30:56

www-tekeze 发表于 2019-1-21 21:36
智量Heur清空，火绒kill 2X，待会双击。。

2.exe和屏幕保护很像，只是少了调用powershell，全部放行，先被规则拦截然后被主防报勒索！

显示全部楼层 · 发表于 2019-1-21 22:35:27

G Data

显示全部楼层 · 发表于 2019-1-21 22:41:20

www-tekeze 发表于 2019-1-21 22:30
2.exe和屏幕保护很像，只是少了调用powershell，全部放行，先被规则拦截然后被主防报勒索！

我说我的行为防御咋不报毒呢，原来我自定义规则设置了禁止程序注入执行explorer，拦截了就不会报毒了，需要放行后行为防御才报毒

显示全部楼层 · 发表于 2019-1-21 22:42:27

BD Kill
日志
Feature:
Antivirus

The file F:\AppData\Vir\s.exe is infected with Gen:Suspicious.Cloud.1.mr1@ayG8OWci and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

Feature:
Antivirus

The file F:\AppData\Vir\2.exe is infected with Gen:Suspicious.Cloud.1.hmJfaWBB@7hk and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

Feature:
Antivirus

The file F:\AppData\Vir\3.exe is infected with Gen:Suspicious.Cloud.1.py0@aWOF8ej and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

Feature:
Antivirus

The file F:\AppData\Vir\1.scr is infected with Gen:Suspicious.Cloud.1.CmJfaWBB@7hk.The threat has been successfully blocked, your device is safe.

显示全部楼层 · 发表于 2019-1-21 22:50:32

vm001 发表于 2019-1-21 22:41
我说我的行为防御咋不报毒呢，原来我自定义规则设置了禁止程序注入执行explorer，拦截了就不会报毒了，需 ...

禁止程序注入执行explorer？系统加固里本来就有啊。

显示全部楼层 · 发表于 2019-1-21 23:01:06

www-tekeze 发表于 2019-1-21 22:50
禁止程序注入执行explorer？系统加固里本来就有啊。

自带的不行，拦截不了

显示全部楼层 · 发表于 2019-1-21 23:09:48

vm001 发表于 2019-1-21 23:01
自带的不行，拦截不了

我也发现不给力还在火绒论坛发过帖，但注入是在内存里进行，规则拦截不了吧，你的规则是怎么写的？

[病毒样本] Ransom #4 (19.01.21)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源