搜索
123
返回列表 发新帖
楼主: petr0vic
收起左侧

[病毒样本] Ransom.Shade (19.07.18)

[复制链接]
温馨小屋
发表于 2019-7-18 18:59:36 | 显示全部楼层
www-tekeze 发表于 2019-7-18 17:55
这个样本真正作恶的是释放在ProgramData里的csrss,后来的联网还有勒索都是它发起的,我看过火绒日志了(1 ...

又开始玄学了。。。


自始至终我也没见到csrss.exe,卡巴回滚里没有这个文件,进程里没见到,对应目录里也没有东西,第一次双击我等了半小时才杀,第二次点5秒钟就杀了,改了个名字第三次双击一分左右杀掉,后两次什么都没有回滚,第一次回滚了一些xml文件,没见到启动项,恐怕是杀在释放csrss前面了
www-tekeze
发表于 2019-7-18 20:07:40 | 显示全部楼层
温馨小屋 发表于 2019-7-18 18:59
又开始玄学了。。。

我这里情况比较稳定,都能复现,刚才7点半又试了下,火绒主防杀的就是csrss,下面那些自定义是反攻击规则拦截的,都是拦的csrss 。。。看了下也不是释放,实际是将自身隐藏到ProgramData\Windows里,和本体MD5相同。。。你可以退出卡巴双击,看看这个路径下有没有。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-18 20:33:08 | 显示全部楼层
www-tekeze 发表于 2019-7-18 20:07
我这里情况比较稳定,都能复现,刚才7点半又试了下,火绒主防杀的就是csrss,下面那些自定义是反攻击规则 ...

关闭卡巴双击,5分钟了,csrss还没出现,进程还在跑期间explorer崩了一次

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 额,看来环境影响太大了。。。

查看全部评分

温馨小屋
发表于 2019-7-18 20:41:06 | 显示全部楼层
www-tekeze 发表于 2019-7-18 20:07
我这里情况比较稳定,都能复现,刚才7点半又试了下,火绒主防杀的就是csrss,下面那些自定义是反攻击规则 ...

转眼一看桌面被加密了,然而csrss还是没有出现。。。

看来这玩意真的是延迟启动,很可能是随机延迟。。。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-18 21:07:16 | 显示全部楼层
温馨小屋 发表于 2019-7-18 20:41
转眼一看桌面被加密了,然而csrss还是没有出现。。。

看来这玩意真的是延迟启动,很可能是随机延迟。 ...

看到了,我这里放行的话也是一堆勒索信。。   是有你说的随机发作问题。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-19 04:20 , Processed in 0.037008 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表