中了扩展名为gusau的勒索病毒，有人知道怎么办吗？

www-tekeze

www-tekeze 发表于 2019-7-20 17:36
标题党，好好发样本就是了。。。智量入库杀！火绒miss，有空双击。。

首先联网、被反攻击规则拦截，然后被智量主防连杀三次，整个进程链吧，game over 。。
退出智量双击，还会被反攻击规则拦截，最后被火绒监控报Adware，根本没加密动作，勒索在哪。。

会添加自启，还得重启么？？

温馨小屋

卡巴：HEUR:Trojan.Win32.Generic

bobofu

www-tekeze 发表于 2019-7-20 17:57
首先联网、被反攻击规则拦截，然后被智量主防连杀三次，整个进程链吧，game over 。。
退出智量双 ...

朋友，我是把杀软暂时禁用遭了的，你可以在虚拟机里面裸奔试试看

Anan20060615

迈克菲放行
360TS锤
没看出恶意行为在哪。。。虚拟机测试就是个安装程序。。。
微步行为安全
emmmm不过VT红了一大片，还是小心一点
VT传送门

www-tekeze

bobofu 发表于 2019-7-20 18:08
朋友，我是把杀软暂时禁用遭了的，你可以在虚拟机里面裸奔试试看

看楼上说的，确实就是个用快捷键截屏的小软件而已，只是不干净！所以火绒报了个Adware，智量还杀了个下载来的utc.exe，将这个utc传到VT上报毒率47/71 。。。啥勒索呢，样本搞错了！真是个标题党。。

https://www.virustotal.com/gui/file/d2787232fc35f34c98564882eb8b6f6d366e4c46f253ad950cec219a941ba46a/detection

bobofu

真不是标题党啊，下图为证

勒索说明

bobofu

请看正常文件与被病毒加密过的文件

记录微笑

www-tekeze 发表于 2019-7-20 20:35
看楼上说的，确实就是个用快捷键截屏的小软件而已，只是不干净！所以火绒报了个Adware，智量还杀了个下载 ...

我看eset报的是Win32/TrojanDropper.Addrop.CH
可能是一个Dropper

bobofu

www-tekeze 发表于 2019-7-20 20:35
看楼上说的，确实就是个用快捷键截屏的小软件而已，只是不干净！所以火绒报了个Adware，智量还杀了个下载 ...

有可能这个下载器下载执行了很多的病毒，木马造成的，我记得开始好像没问题，我重启一下，喇叭乱响了一阵，CPU占用1000%，硬盘写个不停，启动项添加了一项看得见的

应该没记错的，我在找comfort on-screen的keygen，从Crack4Download 下载的，当时我只在做这件事

XywCloud

这是STOP勒索
https://www.bleepingcomputer.com ... help-support-topic/
关注上面这个帖子吧，你的那个后缀现在暂时没有对应的离线密钥（按照上一个感染者的案例，你这边也有可能是离线模式加密【即病毒访问不了C2】，因而就有可能解密），我拿到的样本暂时跑不了，能跑的话就可以直接告诉你有没有希望解密了

至于你给的样本，看了下，最终投放的东西是个下载器（下载什么由服务端控制，从服务端拉取配置来决定）
目前下下来的东西是一个流氓软件下载器，根据地域下载并安装不同的流氓软件
暂时无法证明和STOP勒索有直接的关联（当然要是服务端改配置直接投放个勒索软件那就...）