高质量勒索样本！欢迎双击

显示全部楼层 · 发表于 2019-6-18 18:02:37

帝辛发表于 2019-6-18 17:58
这不是病毒把？虚拟机装了三四次。都是打印机驱动。而且装到一半总是失败。

带东芝的有效数签，VT上没一家报，居然成勒索了。。。楼主是猴子派来的逗逼吧。。

显示全部楼层 · 发表于 2019-6-18 18:41:49

www-tekeze 发表于 2019-6-18 18:02
带东芝的有效数签，VT上没一家报，居然成勒索了。。。楼主是猴子派来的逗逼吧。。

https://s.threatbook.cn/report/f ... p1_enx86_office2013

显示全部楼层 · 发表于 2019-6-18 18:52:29

yzsts 发表于 2019-6-18 18:41
https://s.threatbook.cn/report/file/552c6a99d0b38503660e5983ddc094eb0b097dee4f27366fd571136110debc ...

高危行为里有个像勒索的，但没一家报啊，微步给的结果是“经检测该文件为安全”。。

显示全部楼层 · 发表于 2019-6-18 19:00:58

我就笑笑不说话

显示全部楼层 · 发表于 2019-6-19 10:36:15

正常文件，不是勒索的，楼主结贴吧。

显示全部楼层 · 发表于 2019-6-19 11:09:43

2019/6/19 星期三 11:08:03 创建注册表项允许
进程: c:\users\ljx\appdata\local\temp\{b1b2fb16-8121-44ed-8a0e-ab1d850d318c}\.cr\勒索.exe
目标: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_NINPUT_LEGACYMODE
规则: [应用程序组]★ 降权安装组-未信任 ☆ 26 -> [注册表组]保护-IE浏览器设置

2019/6/19 星期三 11:08:08 修改注册表值阻止
进程: c:\users\ljx\appdata\local\temp\{b1b2fb16-8121-44ed-8a0e-ab1d850d318c}\.cr\勒索.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_NINPUT_LEGACYMODE\勒索.exe
值: 0x00000000(0)
规则: [应用程序组]★ 降权安装组-未信任 ☆ 26 -> [注册表组]秒杀-映像劫持 -> [注册表]*; *.exe

显示全部楼层 · 发表于 2019-6-19 11:20:18

东芝打印机的安装程序。不是高质量勒索病毒哈。

显示全部楼层 · 发表于 2019-6-19 12:42:00

楼主如果把微步上勒索那一条警告展开就会发现其实微步指的是这个程序会修改自己释放的109个文件，只是微步为了安全起见把这个行为看成勒索软件特征，微步经常这样，给的分析结果与实际不符。

[病毒样本] 高质量勒索样本！欢迎双击

评分