搜索
查看: 1940|回复: 49
收起左侧

[病毒样本] 加壳勒索,测主防!欢迎双击!!

  [复制链接]
www-tekeze
发表于 2019-6-11 20:08:31 | 显示全部楼层 |阅读模式
本帖最后由 www-tekeze 于 2019-6-11 20:10 编辑

RT,源文件相同,但分别加了三种壳,愿意双击的自己恢复后缀,风险自负。。


载点:https://www.lanzous.com/i4j2ile    密码:infected


请勿上传VirusTotal





评分

参与人数 2魅力 +2 人气 +1 收起 理由
屁颠屁颠 + 2 长期双击奖励
iha40999 + 1 加分鼓励

查看全部评分

小Q机器人
发表于 2019-6-11 20:13:01 | 显示全部楼层
本帖最后由 小Q机器人 于 2019-6-11 20:15 编辑

火绒都可以拦截,卡巴

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 沙发加分!

查看全部评分

c/mm
发表于 2019-6-11 20:17:28 | 显示全部楼层
本帖最后由 c/mm 于 2019-6-11 21:16 编辑

dr.web  扫描  kill 1x miss 2x

日期:
2019/6/11/周二 20:17组件:
SpIDer Guard代码:
600事件:
侦测到威胁详细信息:
对象: ransom.zp.vir
威胁: Trojan.Obfuscated.based.1
操作: 已隔离
路径: C:\users\us\desktop\temp\加壳勒索\ransom.zp.vir


双击 kill 1X

事件:侦测到威胁        详细信息:对象: Ransom.se.exe
威胁: DPH:Trojan.Encoder.33
操作: 已隔离
路径: C:\Users\us\Desktop\temp\加壳勒索\Ransom.se.exe

        组件:抵御勒索软件        代码:513        事件:已禁止更改用户文件        详细信息:PID: 3364进程: C:\Users\us\Desktop\temp\加壳勒索\Ransom.se.exe
对象: 用户文件的完整性

另一个本体未杀  只防御了部分文件夹  两个隐藏文件夹USER下的AppData和C盘下的ProgramData 有部分被加密,因为我打开浏览器收藏夹似乎都没了。。。(不过我有备份应该是被加密了)其他文件夹防御住的都产生了垃圾加密副本

日期:2019/6/11/周二 20:52        组件:行为分析        代码:500        事件:行为分析组件已阻止访问受保护对象        详细信息:PID: 2140
进程: C:\Users\us\Desktop\temp\加壳勒索\Ransom.vmp.exe
对象: 软件自启动
日期:2019/6/11/周二 20:26        组件:行为分析        代码:500        事件:行为分析组件已阻止访问受保护对象        详细信息:PID: 1660
进程: C:\Users\us\Desktop\temp\加壳勒索\Ransom.vmp.exe
对象: Winlogon参数
2019/6/11/周二 20:22        组件:抵御勒索软件        代码:513        事件:已禁止更改用户文件        详细信息:PID: 3364
进程: C:\Users\us\Desktop\temp\加壳勒索\Ransom.se.exe
对象: 用户文件的完整性


部分文件被加密






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 加VMP的呢??

查看全部评分

我梦
发表于 2019-6-11 20:18:16 | 显示全部楼层
暂停防护后双击,没有任何文件被加密
www-tekeze
 楼主| 发表于 2019-6-11 20:19:16 | 显示全部楼层
小Q机器人 发表于 2019-6-11 20:13
火绒都可以拦截,卡巴

3个样本哦,都只拦了加ZP和se的,我的VMP是注册版,司机也只报not-a-virus 。。。欢迎双击。。


a233
发表于 2019-6-11 20:19:38 | 显示全部楼层
Avast (Ransom.se.vir无法运行,停止工作)


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 双击加分!

查看全部评分

www-tekeze
 楼主| 发表于 2019-6-11 20:20:39 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-6-11 20:25 编辑
byjgg 发表于 2019-6-11 20:18
暂停防护后双击,没有任何文件被加密

666 。。。你是我见过最牛的。。   亲,得恢复后缀为exe,但没虚拟机请不要双击,否则小心哭死。。


小Q机器人
发表于 2019-6-11 20:21:04 | 显示全部楼层
www-tekeze 发表于 2019-6-11 20:19
3个样本哦,都只拦了加ZP和se的,我的VMP是注册版,司机也只报not-a-virus 。。。欢迎双击。。

...

哦。我同时开始的火绒和卡巴,我以为是被卡巴删除了一个
小Q机器人
发表于 2019-6-11 20:22:03 | 显示全部楼层
www-tekeze 发表于 2019-6-11 20:20
666 。。。你是我见过最牛的。。

我修改后缀我也可以双击呀  哈哈
www-tekeze
 楼主| 发表于 2019-6-11 20:23:05 | 显示全部楼层
a233 发表于 2019-6-11 20:19
Avast (Ransom.se.vir无法运行,停止工作)

我Win7 x64虚拟机里都试过了,你那怎么会停止工作?不会是你的组件没装全吧。。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|纳美地| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-6-26 18:33 , Processed in 0.045472 second(s), 3 queries , MemCache On.

快速回复 返回顶部 返回列表