搜索
查看: 1175|回复: 11
收起左侧

[病毒样本] #Ransomware

[复制链接]
Jirehlov1234
发表于 2019-7-16 10:24:36 | 显示全部楼层 |阅读模式
本帖最后由 Jirehlov1234 于 2019-7-16 10:27 编辑

https://c-t.work/s/47509f2cb1bd4f

16.07.2019 10.22.21;检测到 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\Administrator\AppData\Roaming\54DATA.bat;c:\users\administrator\appdata\roaming\54data.bat;07/16/2019 10:22:21
16.07.2019 10.22.21;已终止 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\Administrator\AppData\Roaming\54DATA.bat;C:\Windows\System32\cmd.exe;07/16/2019 10:22:21
16.07.2019 10.22.22;已阻止危险网址;hxxp://cklinosleeve.icu/setup/ChromeSetup.exe;hxxp://cklinosleeve.icu/setup/ChromeSetup.exe;网址;卡巴斯基安全网络信息;Windows PowerShell;07/16/2019 10:22:22
16.07.2019 10.22.25;应用程序已添加至组低限制;C:\Users\Administrator\AppData\Roaming\48DATA.bat;C:\Users\Administrator\AppData\Roaming\48DATA.bat;默认;C:\Users\Administrator\AppData\Roaming\48DATA.bat;07/16/2019 10:22:25
16.07.2019 10.22.42;已移除 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\Administrator\AppData\Roaming\54DATA.bat;c:\users\administrator\appdata\roaming\54data.bat;07/16/2019 10:22:42



https://bbs.kafan.cn/thread-2154585-1-1.html

评分

参与人数 2人气 +3 收起 理由
dongwenqi + 2 版区有你更精彩: )
www-tekeze + 1 版区有你更精彩: )

查看全部评分

a233
发表于 2019-7-16 10:29:06 | 显示全部楼层
Avast Miss
liangxy
发表于 2019-7-16 10:32:53 | 显示全部楼层
为什么我卡巴右键扫描不报?
dongwenqi
发表于 2019-7-16 10:33:26 | 显示全部楼层
liangxy 发表于 2019-7-16 10:32
为什么我卡巴右键扫描不报?

楼主是主防测试卡巴
www-tekeze
发表于 2019-7-16 10:39:07 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-16 10:41 编辑


绒智占楼。。。绒智均不报,双击会启用宏,已上传智量!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-16 10:59:41 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-16 11:08 编辑
www-tekeze 发表于 2019-7-16 10:39
绒智占楼。。。绒智均不报,双击会启用宏,已上传智量!

实机沙盘里双击,启用宏后触发较多火绒反攻击规则,随后被智量主防杀!

退出智量双击,全部放行,最终调用的某些dll出错。。。刚注意,火绒应用加固拦截的和智量主防杀的相同,都是释放的54DATA.bat,相信是Office漏洞攻击。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-16 11:19:43 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-16 11:34 编辑
www-tekeze 发表于 2019-7-16 10:59
实机沙盘里双击,启用宏后触发较多火绒反攻击规则,随后被智量主防杀!

退出智量双击,全部放 ...

沙盘里动作看不完全,虚拟机里双击 (退出智量),还会联网,然后被火绒报勒索。。

PS:这个被杀的C.exe,不清楚是联网下载的还是母体释放的?因为被火绒反攻击规则拦截时卡得非常厉害。

补个图,还会被火绒Web防护报勒索,由此看这个勒索是联网下载的!

漏洞利用然后下载勒索,相信就是那种勒索邮件,附件不要随便点最起码不能启用宏!


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
静影沉璧
发表于 2019-7-16 12:01:36 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
LSPD
发表于 2019-7-16 13:57:49 | 显示全部楼层
gd block

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-20 16:15 , Processed in 0.044756 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表