加密文件后缀为ReadInstructions的Medusalokcer家族新变种

显示全部楼层 · 发表于 2020-2-23 01:00:52

本帖最后由 xinism 于 2020-2-23 10:55 编辑

加密文件后缀为ReadInstructions的Medusalokcer家族新变种？

因为服务器没有打永恒之蓝的补丁，开放了445和3389端口，于2020年2月2日中招。

附件加密密码：virus 里面有加密后的文件，其实4个EXE文件是在服务器上找到的，请大神诊断是不是Medusalokcer病毒

链接: https://pan.baidu.com/s/1L9m0vKN0Hfa8mh_QLw18Zw 提取码: nfq8

点击查看：微步分析报告
文件名称：va-1.8.exe
SHA256：6b9ca4cbb68f23e164625614d9d074b7bb9e2c5aeb429034ed4d6440594ce64e
运行环境：win7_sp1_enx86_office2013
提交时间：2020-02-22 22:55:35

点击查看：哈勃分析报告
文件名称：va-1.8.exe
MD5：0ea3051e5173035fc97c403746d67437
运行环境：未知（疑似XP）
提交时间：2020-02-22 22:55:30

点击查看：哈勃分析报告
文件名称：ProcessHacker.exe
MD5：ceb0db5c9def10abd9070f9a6366c514
运行环境：未知（疑似XP）
提交时间：2020-02-22 22:19:50

点击查看：微步分析报告
文件名称：ProcessHacker.exe
SHA256：6d8f9f21fc5d8730dc3e5687c86cb03a8e04a454a3006256975a792795de64f6
运行环境：win7_sp1_enx86_office2013
提交时间：2020-02-22 22:15:48

显示全部楼层 · 发表于 2020-2-23 01:13:21

本帖最后由 54ss 于 2020-2-23 01:20 编辑

火绒报 Virus/Neshta.c Ransom/Betisrypt.a HackTool/NetScaner
BD
The file C:\Users\JOJO\Downloads\100.30.hacktools\nasp.exe has been detected as infected with Win32.Neshta.A. Bitdefender disinfected this item, your device is safe.
The file \Device\HarddiskVolume3\Users\JOJO\Downloads\100.30.hacktools\ProcessHacker.exe is infected with Gen:Variant.Johnnie.204928. The threat has been successfully blocked, your device is safe.
Learn more
The file C:\Users\JOJO\Downloads\100.30.hacktools\0mrimrssmith0\va_1.8\va-1.8.exe is infected with Generic.Ransom.MedusaLocker.87AF3DD7 and was moved to quarantine. It is recommended that you run a System Scan to make sure your system is clean.

显示全部楼层 · 发表于 2020-2-23 01:17:25

查杀

显示全部楼层 · 发表于 2020-2-23 01:19:41

ESET报Medusalokcer，可能实锤了。。？

显示全部楼层 · 发表于 2020-2-23 06:20:20

毒霸

扫描时间：[2020-02-23 06:19:44]
扫描用时：[00:00:06]
扫描类型：自定义查杀
扫描文件总数：4
扫描速度：1文件/秒
发现威胁：3个
清除威胁：3个
=============================================
[2020-02-23 06:19:58]
威胁：f:\浏览器下载\100.30.hacktools - 副本\100.30.hacktools\nasp.exe
类型：win32.neshta.nl.30720
处理方式：修复
[2020-02-23 06:19:58]
威胁：f:\浏览器下载\100.30.hacktools - 副本\100.30.hacktools\processhacker.exe
类型：win32.neshta.nl.30720
处理方式：修复
[2020-02-23 06:19:58]
威胁：f:\浏览器下载\100.30.hacktools - 副本\100.30.hacktools\0mrimrssmith0\va_1.8\va-1.8.exe
类型：win32.neshta.nl.30720
处理方式：修复

复制代码

显示全部楼层 · 发表于 2020-2-23 07:26:16

本帖最后由 Jirehlov1234 于 2020-2-23 07:32 编辑

是的，这个是#Medusalocker勒索。后缀.ReadInstructions不是新品种，早就有了。目前不支持解密。

显示全部楼层 · 发表于 2020-2-23 10:12:21

Malwarebytes
Virus.Natsha

显示全部楼层 · 发表于 2020-2-23 10:15:00

EMSI

显示全部楼层 · 发表于 2020-2-23 10:46:09

Jirehlov1234 发表于 2020-2-23 07:26
是的，这个是#Medusalocker勒索。后缀.ReadInstructions不是新品种，早就有了。目前不支持解密。

兴奋了一晚上，以上中了新病毒。多谢。

显示全部楼层 · 发表于 2020-2-23 11:19:59

[病毒样本] 加密文件后缀为ReadInstructions的Medusalokcer家族新变种

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源