Ransom.Sodinokibi2 (19.06.19)

petr0vic

https://c-t.work/s/c89451234a8942

infected

极宝杀毒V1.7.4
1-1.exe        HEUR/QVM10.2.F875.Malware.Gen
1.exe Safe

欧阳宣

gdata

1.exe Gen:Trojan.Heur2.JP.pmGfaaCaCMmG (Engine A)

1-1.exe

1. 0        0        0        G DATA INTERNET SECURITY has blocked the execution of malicious software on your system.
   
2. 0        0        0        The malicious software was identified by DeepRay as follows: Sodinokibi;Kryptik2
   
3. 0        0        0       
   
4. 128        0        0        The following processes were therefore terminated by G DATA for security reasons:
   
5. 64        0        0        C:\Users\jeff6\Downloads\1-1.exe (PID 9772)

复制代码

，就一个.

WD
1 Trojan:Win32/Gandcrab.AF

1-1 Trojan:Win32/Gandcrab.AF 双击WD阻止运行，提升需要扫描60秒，过了十几秒就杀了。


从阻止窗口点进去看到微软的介绍  这个功能跟小a的CyberCapture有点像

适用范围：

• [color=var(--primary-base)]Microsoft Defender 高级威胁防护 (Microsoft Defender ATP)
  

第一次看到的块是 "下一代保护" 的一项功能, 提供了一种在几秒钟内检测和阻止新恶意软件的方法。

在某些先决条件设置已启用的情况下，它也默认启用。 在大多数情况下，这些先决条件设置也默认处于启用状态，因此该功能可在无需任何干预的情况下运行。

基于云的保护服务分析文件时，可[color=var(--primary-base)]指定阻止该文件运行的时长。

文件被阻止时，还可[color=var(--primary-base)]自定义用户桌面上显示的消息。 可更改公司名称、联系信息和消息 URL。

工作原理

当 Windows Defender 防病毒软件遇到可疑但未检测到的文件时, 它会查询云保护后端。 云后端应用对文件的启发、机器学习和自动分析, 以确定文件是否是恶意的或干净的。

在 Windows 10 版本1803中, 第一次看到的块现在可以阻止不可移植的可执行文件 (如 JS、VBS 或宏) 和可执行文件。

第一次看到的块仅对从 Internet 下载的可执行文件和不可移植可执行文件使用云保护后端, 或者从 Internet 区域下载。 通过云后端检查 .exe 文件的哈希值，确定之前是否未检测到过此文件。

如果云后端无法确定, Windows Defender 防病毒软件将锁定文件并将副本上载到云。 云执行其他分析, 以便在将来的任何情况下允许文件运行或阻止它, 具体取决于它是否确定该文件是恶意的还是安全的。

在许多情况下, 此过程可将新恶意软件的响应时间从小时减少到秒。

小Q机器人

卡巴斯基和火绒扫描miss多引擎扫描器  miss

www-tekeze

智量清空，火绒miss all，有空双击。。

www-tekeze

www-tekeze 发表于 2019-6-20 07:35
智量清空，火绒miss all，有空双击。。

双击，首先是删除卷影还原点，允许后被智量主防杀！退出智量双击，火绒主防也能杀（开启勒索诱捕）。。

BD：
1.exe - Trojan.Emotet.AAV
1-1.exe - Trojan.Emotet.AAV

Jerry.Lin

腾讯 MISS ALL

温馨小屋

kaba666

卡巴清空