收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 加强壳的WNCRY
12345下一页
返回列表 发新帖
楼主: 记录微笑
 收起左侧

[病毒样本] 加强壳的WNCRY

[复制链接]
Nocria
发表于 2019-6-2 23:01:59 | 显示全部楼层
本帖最后由 humanlwj52 于 2019-6-2 23:12 编辑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

左手
发表于 2019-6-2 23:03:34 | 显示全部楼层
  1. 2019/6/2 星期日 23:01:32    创建文件 风险提示:低风险    允许
  2. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  3. 目标: C:\Users\Administrator\Desktop\b.wnry
  4. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  6. 2019/6/2 星期日 23:01:34    创建文件 风险提示:低风险    允许
  7. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  8. 目标: C:\Users\Administrator\Desktop\c.wnry
  9. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  11. 2019/6/2 星期日 23:01:34    创建文件夹 风险提示:低风险    允许
  12. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  13. 目标: C:\Users\Administrator\Desktop\msg
  14. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]?:\*《任意文件夹》 -> [文件]?:\*

  16. 2019/6/2 星期日 23:01:41    创建文件 风险提示:低风险    允许
  17. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  18. 目标: C:\Users\Administrator\Desktop\msg\m_bulgarian.wnry
  19. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  21. 2019/6/2 星期日 23:01:44    创建文件 风险提示:低风险    允许
  22. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  23. 目标: C:\Users\Administrator\Desktop\msg\m_chinese (simplified).wnry
  24. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  26. 2019/6/2 星期日 23:01:47    创建文件 风险提示:低风险    允许
  27. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  28. 目标: C:\Users\Administrator\Desktop\r.wnry
  29. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  31. 2019/6/2 星期日 23:01:51    创建文件 风险提示:低风险    允许
  32. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  33. 目标: C:\Users\Administrator\Desktop\s.wnry
  34. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  36. 2019/6/2 星期日 23:01:52    创建文件 风险提示:低风险    允许
  37. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  38. 目标: C:\Users\Administrator\Desktop\t.wnry
  39. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  41. 2019/6/2 星期日 23:01:54    创建文件 风险提示:低风险    允许
  42. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  43. 目标: C:\Users\Administrator\Desktop\taskdl.exe
  44. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  46. 2019/6/2 星期日 23:01:58    创建文件 风险提示:低风险    允许
  47. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  48. 目标: C:\Users\Administrator\Desktop\taskse.exe
  49. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  51. 2019/6/2 星期日 23:01:59    创建文件 风险提示:低风险    允许
  52. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  53. 目标: C:\Users\Administrator\Desktop\u.wnry
  54. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  56. 2019/6/2 星期日 23:02:00    创建新进程 风险提示:未知    阻止
  57. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  58. 目标: c:\windows\system32\attrib.exe
  59. 命令行: attrib +h .
  60. 规则: [应用程序]?* -> [子应用程序]?:\windows\system32\attrib.exe

  62. 2019/6/2 星期日 23:02:13    创建新进程 风险提示:未知    阻止
  63. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  64. 目标: c:\windows\system32\icacls.exe
  65. 命令行: icacls . /grant Everyone:F /T /C /Q
  66. 规则: [应用程序]* -> [子应用程序]a003_《行为防御》_降权<1>

  68. 2019/6/2 星期日 23:02:17    创建文件 风险提示:低风险    允许
  69. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  70. 目标: C:\Users\Administrator\Desktop\00000000.pky
  71. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  73. 2019/6/2 星期日 23:02:19    创建文件 风险提示:低风险    允许
  74. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  75. 目标: C:\Users\Administrator\Desktop\00000000.eky
  76. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  78. 2019/6/2 星期日 23:02:22    创建文件 风险提示:低风险    允许
  79. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  80. 目标: C:\Users\Administrator\Desktop\00000000.res
  81. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  83. 2019/6/2 星期日 23:02:22    创建新进程 风险提示:未知    允许
  84. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  85. 目标: c:\users\administrator\desktop\taskdl.exe
  86. 命令行: taskdl.exe
  87. 规则: [应用程序]?:\*\*\*\* -> [子应用程序]《..\*上级》

  89. 2019/6/2 星期日 23:02:25    创建文件 风险提示:低风险    允许
  90. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  91. 目标: C:\Users\Administrator\Desktop\@WanaDecryptor@.exe
  92. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  94. 2019/6/2 星期日 23:02:34    创建新进程 风险提示:未知    允许
  95. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  96. 目标: c:\windows\system32\cmd.exe
  97. 命令行: C:\windows\system32\cmd.exe /c 289891559487744.bat
  98. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  100. 2019/6/2 星期日 23:02:34    创建文件 风险提示:低风险    允许
  101. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  102. 目标: C:\Users\Administrator\Desktop\~SD1F4.tmp
  103. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  105. 2019/6/2 星期日 23:02:34    修改文件 风险提示:木马    允许
  106. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  107. 目标: C:\Users\Administrator\Desktop\~SD1F4.tmp
  108. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  110. 2019/6/2 星期日 23:02:34    删除文件 风险提示:木马    允许
  111. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  112. 目标: C:\Users\Administrator\Desktop\~SD1F4.tmp
  113. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  115. 2019/6/2 星期日 23:02:38    创建文件 风险提示:低风险    允许
  116. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  117. 目标: C:\Users\Administrator\Desktop\191724.28669791_142X142X4.jpg.WNCRYT
  118. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  120. 2019/6/2 星期日 23:02:41    创建文件 风险提示:低风险    允许
  121. 进程: c:\windows\system32\cmd.exe
  122. 目标: C:\Users\Administrator\Desktop\m.vbs
  123. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  125. 2019/6/2 星期日 23:02:43    创建文件 风险提示:低风险    允许
  126. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  127. 目标: C:\Users\Administrator\Desktop\191724.28669791_142X142X4.jpg.WNCRY
  128. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  130. 2019/6/2 星期日 23:02:49    创建新进程 风险提示:未知    允许
  131. 进程: c:\windows\system32\cmd.exe
  132. 目标: c:\windows\system32\cscript.exe
  133. 命令行: cscript.exe  //nologo m.vbs
  134. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

  136. 2019/6/2 星期日 23:02:54    修改文件 风险提示:木马    阻止
  137. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  138. 目标: C:\Users\Administrator\Desktop\191724.28669791_142X142X4.jpg
  139. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.jpg

  141. 2019/6/2 星期日 23:02:57    创建文件 风险提示:低风险    允许
  142. 进程: c:\windows\system32\cscript.exe
  143. 目标: C:\Users\Administrator\Desktop\@WanaDecryptor@.exe.lnk
  144. 规则: [应用程序]c:\windows\system32\?script.exe -> [文件组]《询问》f060_桌面

  146. 2019/6/2 星期日 23:02:57    创建新进程 风险提示:未知    允许
  147. 进程: c:\users\administrator\desktop\wcry2.0 勒索.vmp.exe
  148. 目标: c:\users\administrator\desktop\taskdl.exe
  149. 命令行: taskdl.exe
  150. 规则: [应用程序]?:\*\*\*\* -> [子应用程序]《..\*上级》

  152. 2019/6/2 星期日 23:03:02    删除文件 风险提示:木马    允许
  153. 进程: c:\windows\system32\cmd.exe
  154. 目标: C:\Users\Administrator\Desktop\289891559487744.bat
  155. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

复制代码
回复

举报

huang1111
发表于 2019-6-2 23:03:48 | 显示全部楼层
卡巴扫描miss   加强壳果然有效
回复

举报

huang1111
发表于 2019-6-2 23:16:35 | 显示全部楼层
双击结果

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

记录微笑
 楼主| 发表于 2019-6-2 23:18:22 | 显示全部楼层
huang1111 发表于 2019-6-2 23:16
双击结果

双击卡巴要是MISS就神作了
我没做任何处理,只是加壳。
回复

举报

记录微笑
 楼主| 发表于 2019-6-2 23:19:21 | 显示全部楼层
humanlwj52 发表于 2019-6-2 23:01

又是和以前一样,反勒索一杀基本上除了系统关键进程其他都被终止了。
有文件被加密吗?
回复

举报

jdsh
发表于 2019-6-2 23:22:41 | 显示全部楼层
WD




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

huang1111
发表于 2019-6-2 23:25:38 | 显示全部楼层
whl2606555 发表于 2019-6-2 23:18
双击卡巴要是MISS就神作了
我没做任何处理,只是加壳。

这是2020a版本,很有可能miss,又不是稳定版
回复

举报

温馨小屋
头像被屏蔽
发表于 2019-6-2 23:31:16 | 显示全部楼层
huang1111 发表于 2019-6-2 23:16
双击结果

bazon是云拉黑报法啊,看来壳里病毒出来之后就被云识别了
回复

举报

c/mm
头像被屏蔽
发表于 2019-6-2 23:32:14 | 显示全部楼层
Dr.web

日期:
2019/6/2/周日 23:22组件:
SpIDer Guard代码:
600事件:
侦测到威胁详细信息:
对象: u.wnry
威胁: Trojan.Encoder.11432
操作: 已隔离
路径: C:\users\us\desktop\temp\wcry2.0 勒索.vmp\u.wnry

日期:
2019/6/2/周日 23:21组件:
SpIDer Guard代码:
600事件:
侦测到威胁详细信息:
对象: taskdl.exe
威胁: Trojan.Encoder.11432
操作: 已隔离
路径: C:\users\us\desktop\temp\wcry2.0 勒索.vmp\taskdl.exe

日期:
2019/6/2/周日 23:20组件:
SpIDer Guard代码:
600事件:
侦测到威胁详细信息:
对象: taskse.exe
威胁: Trojan.Encoder.11432
操作: 已隔离
路径: C:\users\us\desktop\temp\wcry2.0 勒索.vmp\taskse.exe


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-4-28 15:22 , Processed in 0.212451 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表