加壳勒索，测主防！欢迎双击！！

www-tekeze

RT，源文件相同，但分别加了三种壳，愿意双击的自己恢复后缀，风险自负。。


载点：https://www.lanzous.com/i4j2ile    密码：infected


请勿上传VirusTotal

小Q机器人

火绒都可以拦截，卡巴

c/mm

dr.web  扫描  kill 1x miss 2x

日期：
2019/6/11/周二 20:17组件：
SpIDer Guard代码：
600事件：
侦测到威胁详细信息：
对象： ransom.zp.vir
威胁： Trojan.Obfuscated.based.1
操作： 已隔离
路径： C:\users\us\desktop\temp\加壳勒索\ransom.zp.vir


双击 kill 1X

事件：侦测到威胁        详细信息：对象： Ransom.se.exe
威胁： DPH:Trojan.Encoder.33
操作： 已隔离
路径： C:\Users\us\Desktop\temp\加壳勒索\Ransom.se.exe

        组件：抵御勒索软件        代码：513        事件：已禁止更改用户文件        详细信息：PID: 3364进程： C:\Users\us\Desktop\temp\加壳勒索\Ransom.se.exe
对象： 用户文件的完整性

另一个本体未杀  只防御了部分文件夹  两个隐藏文件夹USER下的AppData和C盘下的ProgramData 有部分被加密，因为我打开浏览器收藏夹似乎都没了。。。（不过我有备份应该是被加密了）其他文件夹防御住的都产生了垃圾加密副本

日期：2019/6/11/周二 20:52        组件：行为分析        代码：500        事件：行为分析组件已阻止访问受保护对象        详细信息：PID: 2140
进程： C:\Users\us\Desktop\temp\加壳勒索\Ransom.vmp.exe
对象： 软件自启动
日期：2019/6/11/周二 20:26        组件：行为分析        代码：500        事件：行为分析组件已阻止访问受保护对象        详细信息：PID: 1660
进程： C:\Users\us\Desktop\temp\加壳勒索\Ransom.vmp.exe
对象： Winlogon参数
2019/6/11/周二 20:22        组件：抵御勒索软件        代码：513        事件：已禁止更改用户文件        详细信息：PID: 3364
进程： C:\Users\us\Desktop\temp\加壳勒索\Ransom.se.exe
对象： 用户文件的完整性


部分文件被加密

我梦

暂停防护后双击，没有任何文件被加密

www-tekeze

小Q机器人 发表于 2019-6-11 20:13
火绒都可以拦截，卡巴

3个样本哦，都只拦了加ZP和se的，我的VMP是注册版，司机也只报not-a-virus 。。。欢迎双击。。

a233

Avast (Ransom.se.vir无法运行，停止工作)

www-tekeze

byjgg 发表于 2019-6-11 20:18
暂停防护后双击，没有任何文件被加密

666 。。。你是我见过最牛的。。   亲，得恢复后缀为exe，但没虚拟机请不要双击，否则小心哭死。。

小Q机器人

www-tekeze 发表于 2019-6-11 20:19
3个样本哦，都只拦了加ZP和se的，我的VMP是注册版，司机也只报not-a-virus 。。。欢迎双击。。

...

哦。我同时开始的火绒和卡巴，我以为是被卡巴删除了一个

小Q机器人

www-tekeze 发表于 2019-6-11 20:20
666 。。。你是我见过最牛的。。

我修改后缀我也可以双击呀  哈哈

www-tekeze

a233 发表于 2019-6-11 20:19
Avast (Ransom.se.vir无法运行，停止工作)

我Win7 x64虚拟机里都试过了，你那怎么会停止工作？不会是你的组件没装全吧。。