搜索
楼主: bobofu
收起左侧

[病毒样本] 中了扩展名为gusau的勒索病毒,有人知道怎么办吗?

[复制链接]
www-tekeze
发表于 2019-7-20 17:57:03 | 显示全部楼层
www-tekeze 发表于 2019-7-20 17:36
标题党,好好发样本就是了。。。智量入库杀!火绒miss,有空双击。。

首先联网、被反攻击规则拦截,然后被智量主防连杀三次,整个进程链吧,game over 。。
退出智量双击,还会被反攻击规则拦截,最后被火绒监控报Adware,根本没加密动作,勒索在哪。。

会添加自启,还得重启么??

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bobofu
 楼主| 发表于 2019-7-20 18:08:40 | 显示全部楼层
www-tekeze 发表于 2019-7-20 17:57
首先联网、被反攻击规则拦截,然后被智量主防连杀三次,整个进程链吧,game over 。。
退出智量双 ...

朋友,我是把杀软暂时禁用遭了的,你可以在虚拟机里面裸奔试试看
Anan20060615
发表于 2019-7-20 20:14:42 | 显示全部楼层
本帖最后由 Anan20060615 于 2019-7-20 20:22 编辑

迈克菲放行
360TS锤
没看出恶意行为在哪。。。虚拟机测试就是个安装程序。。。
微步行为安全
emmmm不过VT红了一大片,还是小心一点
VT传送门
www-tekeze
发表于 2019-7-20 20:35:45 | 显示全部楼层
bobofu 发表于 2019-7-20 18:08
朋友,我是把杀软暂时禁用遭了的,你可以在虚拟机里面裸奔试试看

看楼上说的,确实就是个用快捷键截屏的小软件而已,只是不干净!所以火绒报了个Adware,智量还杀了个下载来的utc.exe,将这个utc传到VT上报毒率47/71 。。。啥勒索呢,样本搞错了!真是个标题党。。

https://www.virustotal.com/gui/file/d2787232fc35f34c98564882eb8b6f6d366e4c46f253ad950cec219a941ba46a/detection

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bobofu
 楼主| 发表于 2019-7-20 21:59:11 | 显示全部楼层
本帖最后由 bobofu 于 2019-7-20 22:03 编辑

真不是标题党啊,下图为证

勒索说明

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
bobofu
 楼主| 发表于 2019-7-20 22:10:48 | 显示全部楼层
本帖最后由 bobofu 于 2019-7-20 23:07 编辑

请看正常文件与被病毒加密过的文件

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
记录微笑
发表于 2019-7-20 22:31:20 | 显示全部楼层
www-tekeze 发表于 2019-7-20 20:35
看楼上说的,确实就是个用快捷键截屏的小软件而已,只是不干净!所以火绒报了个Adware,智量还杀了个下载 ...

我看eset报的是Win32/TrojanDropper.Addrop.CH
可能是一个Dropper

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1

查看全部评分

bobofu
 楼主| 发表于 2019-7-20 22:40:11 | 显示全部楼层
本帖最后由 bobofu 于 2019-7-20 22:45 编辑
www-tekeze 发表于 2019-7-20 20:35
看楼上说的,确实就是个用快捷键截屏的小软件而已,只是不干净!所以火绒报了个Adware,智量还杀了个下载 ...

有可能这个下载器下载执行了很多的病毒,木马造成的,我记得开始好像没问题,我重启一下,喇叭乱响了一阵,CPU占用1000%,硬盘写个不停,启动项添加了一项看得见的

应该没记错的,我在找comfort on-screen的keygen,从Crack4Download 下载的,当时我只在做这件事

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 好吧。。。

查看全部评分

XywCloud
发表于 2019-7-20 22:40:55 | 显示全部楼层
本帖最后由 XywCloud 于 2019-7-20 22:42 编辑

这是STOP勒索
https://www.bleepingcomputer.com ... help-support-topic/
关注上面这个帖子吧,你的那个后缀现在暂时没有对应的离线密钥(按照上一个感染者的案例,你这边也有可能是离线模式加密【即病毒访问不了C2】,因而就有可能解密),我拿到的样本暂时跑不了,能跑的话就可以直接告诉你有没有希望解密了

至于你给的样本,看了下,最终投放的东西是个下载器(下载什么由服务端控制,从服务端拉取配置来决定)
目前下下来的东西是一个流氓软件下载器,根据地域下载并安装不同的流氓软件
暂时无法证明和STOP勒索有直接的关联(当然要是服务端改配置直接投放个勒索软件那就...)

评分

参与人数 1人气 +1 收起 理由
龙套传说 + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-18 03:42 , Processed in 0.041677 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表