Ransom.Shade (19.07.18)

显示全部楼层 · 发表于 2019-7-18 18:59:36

www-tekeze 发表于 2019-7-18 17:55
这个样本真正作恶的是释放在ProgramData里的csrss，后来的联网还有勒索都是它发起的，我看过火绒日志了(1 ...

又开始玄学了。。。

自始至终我也没见到csrss.exe，卡巴回滚里没有这个文件，进程里没见到，对应目录里也没有东西，第一次双击我等了半小时才杀，第二次点5秒钟就杀了，改了个名字第三次双击一分左右杀掉，后两次什么都没有回滚，第一次回滚了一些xml文件，没见到启动项，恐怕是杀在释放csrss前面了

显示全部楼层 · 发表于 2019-7-18 20:07:40

温馨小屋发表于 2019-7-18 18:59
又开始玄学了。。。

我这里情况比较稳定，都能复现，刚才7点半又试了下，火绒主防杀的就是csrss，下面那些自定义是反攻击规则拦截的，都是拦的csrss 。。。看了下也不是释放，实际是将自身隐藏到ProgramData\Windows里，和本体MD5相同。。。你可以退出卡巴双击，看看这个路径下有没有。

显示全部楼层 · 发表于 2019-7-18 20:33:08

www-tekeze 发表于 2019-7-18 20:07
我这里情况比较稳定，都能复现，刚才7点半又试了下，火绒主防杀的就是csrss，下面那些自定义是反攻击规则 ...

关闭卡巴双击，5分钟了，csrss还没出现，进程还在跑期间explorer崩了一次

显示全部楼层 · 发表于 2019-7-18 20:41:06

www-tekeze 发表于 2019-7-18 20:07
我这里情况比较稳定，都能复现，刚才7点半又试了下，火绒主防杀的就是csrss，下面那些自定义是反攻击规则 ...

转眼一看桌面被加密了，然而csrss还是没有出现。。。

看来这玩意真的是延迟启动，很可能是随机延迟。。。

显示全部楼层 · 发表于 2019-7-18 21:07:16

温馨小屋发表于 2019-7-18 20:41
转眼一看桌面被加密了，然而csrss还是没有出现。。。

看来这玩意真的是延迟启动，很可能是随机延迟。 ...

看到了，我这里放行的话也是一堆勒索信。。

是有你说的随机发作问题。

[病毒样本] Ransom.Shade (19.07.18)