#Ransomware

Jirehlov1234

https://c-t.work/s/47509f2cb1bd4f

16.07.2019 10.22.21;检测到 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\Administrator\AppData\Roaming\54DATA.bat;c:\users\administrator\appdata\roaming\54data.bat;07/16/2019 10:22:21
16.07.2019 10.22.21;已终止 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\Administrator\AppData\Roaming\54DATA.bat;C:\Windows\System32\cmd.exe;07/16/2019 10:22:21
16.07.2019 10.22.22;已阻止危险网址;hxxp://cklinosleeve.icu/setup/ChromeSetup.exe;hxxp://cklinosleeve.icu/setup/ChromeSetup.exe;网址;卡巴斯基安全网络信息;Windows PowerShell;07/16/2019 10:22:22
16.07.2019 10.22.25;应用程序已添加至组低限制;C:\Users\Administrator\AppData\Roaming\48DATA.bat;C:\Users\Administrator\AppData\Roaming\48DATA.bat;默认;C:\Users\Administrator\AppData\Roaming\48DATA.bat;07/16/2019 10:22:25
16.07.2019 10.22.42;已移除 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\Administrator\AppData\Roaming\54DATA.bat;c:\users\administrator\appdata\roaming\54data.bat;07/16/2019 10:22:42



https://bbs.kafan.cn/thread-2154585-1-1.html

桑德尔

ESET Miss

a233

Avast Miss

liangxy

为什么我卡巴右键扫描不报？

dongwenqi

liangxy 发表于 2019-7-16 10:32
为什么我卡巴右键扫描不报？

楼主是主防测试卡巴

www-tekeze

绒智占楼。。。绒智均不报，双击会启用宏，已上传智量！

www-tekeze

www-tekeze 发表于 2019-7-16 10:39
绒智占楼。。。绒智均不报，双击会启用宏，已上传智量！

实机沙盘里双击，启用宏后触发较多火绒反攻击规则，随后被智量主防杀！

退出智量双击，全部放行，最终调用的某些dll出错。。。刚注意，火绒应用加固拦截的和智量主防杀的相同，都是释放的54DATA.bat，相信是Office漏洞攻击。。

www-tekeze

www-tekeze 发表于 2019-7-16 10:59
实机沙盘里双击，启用宏后触发较多火绒反攻击规则，随后被智量主防杀！

退出智量双击，全部放 ...

沙盘里动作看不完全，虚拟机里双击 (退出智量)，还会联网，然后被火绒报勒索。。

PS：这个被杀的C.exe，不清楚是联网下载的还是母体释放的？因为被火绒反攻击规则拦截时卡得非常厉害。

补个图，还会被火绒Web防护报勒索，由此看这个勒索是联网下载的！

漏洞利用然后下载勒索，相信就是那种勒索邮件，附件不要随便点最起码不能启用宏！

静影沉璧

LSPD

gd block