Ransom (.poop) (19.06.13)

岂曰无衣

360

Nocria

G DATA.

桑德尔

文件名: 1.exe
威胁名称: Ransom.HiddenTear!g1完整路径: C:\Users\Administrator\Desktop\1.exe

____________________________

____________________________


在电脑上 
2019/6/14 ( 9:26:07 )

上次使用时间 
2019/6/14 ( 9:28:07 )

启动项 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


1.exe 威胁名称: Ransom.HiddenTear!g1
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... jM0ODd8MjE1MTgwMw==
已下载文件 从 att.kafan.cn
来源: 外部介质

1.exe

____________________________

文件操作

文件: C:\Users\Administrator\Desktop\ 1.exe 已删除
____________________________


文件指纹 - SHA:
18acfcb224f72976547e8486276dbbce1a911dca98092a793315d14cffc8b5d0
文件指纹 - MD5:
426834e40d3f7f2966fa8a27d64bd091

温馨小屋

卡巴已入库

www-tekeze

这个勒索有三个特点：1. 系统盘仅加密桌面文件。 2. 不加密隐藏文件。 3. exe/dll/dat等都会被加密。
由于上述前两个原因，火绒的勒索诱饵被绕过。。
但智量在其它盘的诱饵被全部加密，可仍然没反应。。   相信这是个bug！！  @智量官方

PS：火绒诱饵被绕过的事，一年多前就在火绒论坛多次反馈，但现在的5.0仍然无所谓。。   @火绒工程师

智量官方

www-tekeze 发表于 2019-6-14 09:59
这个勒索有三个特点：1. 系统盘仅加密桌面文件。 2. 不加密隐藏文件。 3. exe/dll/dat等都会被加密。
由 ...

是的，确实是个BUG

现在已经修复。。。。。。

kaba666

温馨小屋 发表于 2019-6-14 09:55
卡巴已入库

最近卡巴不知道怎么的,对于最近的样本,卡巴主防有点弱了,特别是利用系统控制台主机程序conhost.exe,这些程序干坏事的病毒,卡巴那怕在交互模式下都没法拦截!昨天运行了某人的程序,到现在卡巴都还没反应!

www-tekeze

智量官方 发表于 2019-6-14 10:03
是的，确实是个BUG

现在已经修复。。。。。。

诱饵形同虚设。。   撞库的白名单找到了？但这是主防的事，和触发诱饵报勒索没关系吧。。


“那个勒索样本碰撞上了白名单，所以主防没有报告。我们正在筛查所有白名单。

我们的白名单是根据聚类提取的共有特征，有很小很小的概率会碰撞到恶意程序. 特别是黑程序在代码级别更改特别小的情况下，但是随着我们黑白样本量的增加，这种问题会逐渐消失。”

温馨小屋

kaba666 发表于 2019-6-14 10:21
最近卡巴不知道怎么的,对于最近的样本,卡巴主防有点弱了,特别是利用系统控制台主机程序conhost.exe,这些 ...

这几天光ransom卡巴就漏了好几个，UDS也不那么稳定了，入库也稍慢，好些样本不上报一天也不入库

本来想入正卡巴，现在弄得我又想去白嫖BD了

www-tekeze

kaba666 发表于 2019-6-14 10:21
最近卡巴不知道怎么的,对于最近的样本,卡巴主防有点弱了,特别是利用系统控制台主机程序conhost.exe,这些 ...

每个安软都有自己的软肋，如果被针对往往只能跪。。。蛋定、节哀 。。