LockerGogaRansomware (19.03.09)

显示全部楼层 · 发表于 2019-3-9 13:42:13

www-tekeze 发表于 2019-3-9 13:35
双击，首先删除自身，然后被反攻击规则拦截，紧接着被主防报勒索，over 。。 PS：开启勒索诱捕 ...

这个样本好像会关闭火绒的防御，主防自动处理了病毒之后explorer被关闭，重新打开explorer后发现火绒的托盘图标变灰了，打开ui火绒报告安全服务异常

显示全部楼层 · 发表于 2019-3-9 14:11:39

a233 发表于 2019-3-9 13:42
这个样本好像会关闭火绒的防御，主防自动处理了病毒之后explorer被关闭，重新打开explorer后发现火绒的托 ...

我虚拟机是8.1系统，没你说的这些情况，不过有点尴尬，任务管理器里病毒进程还在。。

虽然没勒索动作了，但得手动关闭或注销/重启一下。

显示全部楼层 · 发表于 2019-3-9 14:16:07

www-tekeze 发表于 2019-3-9 14:11
我虚拟机是8.1系统，没你说的这些情况，不过有点尴尬，任务管理器里病毒进程还在。。

虽然没勒索 ...

病毒残留的进程会大量占用CPU和硬盘，不知道在干什么

显示全部楼层 · 发表于 2019-3-9 14:22:00

本帖最后由 www-tekeze 于 2019-3-9 14:25 编辑

a233 发表于 2019-3-9 14:16
病毒残留的进程会大量占用CPU和硬盘，不知道在干什么

没占用硬盘，我这里不会，只是占用CPU（但任务管理器里就能结束），有可能是遍历硬盘，找符合的文件类型，勒索往往都有这个动作，除非是那种纯加密搞破坏的。。。我就碰到连exe、dll都不放过的，通吃。。

显示全部楼层 · 发表于 2019-3-9 14:27:34

www-tekeze 发表于 2019-3-9 14:22
没占用硬盘，我这里不会，只是占用CPU（但任务管理器里就能结束），有可能是遍历硬盘，找符合的文件类型 ...

我的火绒主防杀了两次病毒，然后电脑就卡爆了，是不是我文件监控的防护级别开高了，然后病毒加密文件，火绒就跟着扫一遍的原因

显示全部楼层 · 发表于 2019-3-9 14:28:12

eset
Win32/Filecoder.LockerGoga.C

显示全部楼层 · 发表于 2019-3-9 14:31:50

a233 发表于 2019-3-9 13:42
这个样本好像会关闭火绒的防御，主防自动处理了病毒之后explorer被关闭，重新打开explorer后发现火绒的托 ...

真杀了，之前比那个火绒的漏洞还厉害( _)

显示全部楼层 · 发表于 2019-3-9 14:40:34

a233 发表于 2019-3-9 14:27
我的火绒主防杀了两次病毒，然后电脑就卡爆了，是不是我文件监控的防护级别开高了，然后病毒加密文件，火 ...

这个倒有可能，要不你到火绒论坛发个帖问问？无法彻底结束病毒进程，而且还卡电脑。。

显示全部楼层 · 发表于 2019-3-9 14:44:35

fs
好像翻车了 dg不停阻止源文件但是不停有同名新exe生成 fs清不掉源文件

显示全部楼层 · 发表于 2019-3-9 15:17:22

Webroot Miss

[病毒样本] LockerGogaRansomware (19.03.09)