搜索
楼主: petr0vic
收起左侧

[病毒样本] Ransom.Shade (19.07.18)

[复制链接]
静影沉璧
发表于 2019-7-18 17:19:05 | 显示全部楼层
BD2018

1.exe Potentially malicious application blocked

2.exe Trojan.GenericKD.41476830

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-18 17:24:50 | 显示全部楼层
温馨小屋 发表于 2019-7-18 16:57
等了半小时它才发作

卡巴是得等到真实恶意出现时才报毒吧。。。我这里双击情况,很快智量主防就连杀两次 (其中一次是释放的假冒csrss.exe),退出智量双击,会联网、添加自启,但确实没流量。。。重启电脑后换成假冒的csrss来联网,但还是没流量,火绒主防没反应、也没任何弹窗,估计还得等不玩了。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
SUARP-BIGNUM
发表于 2019-7-18 17:25:05 | 显示全部楼层

360kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jdsh
发表于 2019-7-18 17:28:05 | 显示全部楼层
WD




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-18 17:39:05 | 显示全部楼层
www-tekeze 发表于 2019-7-18 17:24
卡巴是得等到真实恶意出现时才报毒吧。。。我这里双击情况,很快智量主防就连杀两次 (其中一次是释放的假 ...

卡巴的主防拦截点一直都很靠后,自恃有回滚,一般得石锤恶意才会杀,轻微的添加自启什么的都不会管,现在我觉得像ATD智量这样上来就杀的恐怕一大批都是误报。。。
www-tekeze
发表于 2019-7-18 17:40:28 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-18 18:00 编辑
www-tekeze 发表于 2019-7-18 17:24
卡巴是得等到真实恶意出现时才报毒吧。。。我这里双击情况,很快智量主防就连杀两次 (其中一次是释放的假 ...

再次重启,勒索动作终于来了,先是被反攻击拦截假冒的csrss (会注入explorer),放行后被主防 (恶意行为监控) 报勒索,处理后没任何文件被加密。。   PS:开启勒索诱捕,不开启的没试。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-18 17:42:14 | 显示全部楼层
温馨小屋 发表于 2019-7-18 17:39
卡巴的主防拦截点一直都很靠后,自恃有回滚,一般得石锤恶意才会杀,轻微的添加自启什么的都不会管,现在 ...

呵呵,别忘了那个假冒的csrss 。。  拦截点靠前当然误报会比较高,这点我不反对。。。


温馨小屋
发表于 2019-7-18 17:44:11 | 显示全部楼层
www-tekeze 发表于 2019-7-18 17:42
呵呵,别忘了那个假冒的csrss 。。  拦截点靠前当然误报会比较高,这点我不反对。。。

但是拦截点靠后也经常漏样本,一些轻微恶意或者批处理就直接miss了,所以就很尴尬
www-tekeze
发表于 2019-7-18 17:55:12 | 显示全部楼层
温馨小屋 发表于 2019-7-18 17:44
但是拦截点靠后也经常漏样本,一些轻微恶意或者批处理就直接miss了,所以就很尴尬

这个样本真正作恶的是释放在ProgramData里的csrss,后来的联网还有勒索都是它发起的,我看过火绒日志了(16楼截图里没显示名称),火绒主防杀的就是这个假冒csrss而不是本体。。。就这个样本来说,智量主防拦截很及时!

拦截点靠前靠后都有弊端,鱼与熊掌不可兼得,只能找平衡吧。。。也不知卡巴PDM是否回滚了这个csrss ?


c/mm
发表于 2019-7-18 18:12:04 | 显示全部楼层
本帖最后由 c/mm 于 2019-7-18 21:01 编辑

Dr.web无法 执行?



已入库




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-17 14:08 , Processed in 0.057647 second(s), 15 queries .

快速回复 返回顶部 返回列表