加密文件后缀为ReadInstructions的Medusalokcer家族新变种

显示全部楼层 · 发表于 2020-2-23 16:48:58

智量

显示全部楼层 · 发表于 2020-2-23 17:10:20

va-1.8是勒索，另外两个是Hacktool，ProcessHacker还是俄文的
不知道为什么还感染了Neshta病毒
360能修复成功
火绒只清除了ProcessHacker，另外两个都直接隔离了@火绒工程师

显示全部楼层 · 发表于 2020-2-23 17:20:09

微点双击拦截3个EXE

显示全部楼层 · 发表于 2020-2-23 17:28:38

本帖最后由 QVM360 于 2020-2-23 17:43 编辑

ESET报2个感染型和一个勒索

显示全部楼层 · 发表于 2020-2-24 13:42:36

感谢@zay365，又见到了好玩的东西

显示全部楼层 · 发表于 2020-2-24 14:35:02

zay365 发表于 2020-2-23 17:10
va-1.8是勒索，另外两个是Hacktool，ProcessHacker还是俄文的
不知道为什么还感染了Neshta病毒
360能修复 ...

收到，我们看下~

显示全部楼层 · 发表于 2020-2-24 14:36:40

Microsoft

Virus:Win32/Neshta.A

显示全部楼层 · 发表于 2020-2-25 18:55:29

zay365 发表于 2020-2-23 17:10
va-1.8是勒索，另外两个是Hacktool，ProcessHacker还是俄文的
不知道为什么还感染了Neshta病毒
360能修复 ...

您好，

这三个文件都感染了感染型病毒：Virus/Neshta.c

火绒都可以正常清除

至于另外两个文件被隔离的原因是清除过后的文件都会被火绒报毒，报毒名

Ransom/Betisrypt.a与HackTool/NetScaner.a

感谢您的反馈~

显示全部楼层 · 发表于 2020-2-25 19:08:25

火绒工程师发表于 2020-2-25 18:55
您好，

这三个文件都感染了感染型病毒：Virus/Neshta.c

那从隔离区中能把清除过后的文件提取出来吗

显示全部楼层 · 发表于 2020-2-26 11:55:33

zay365 发表于 2020-2-25 19:08
那从隔离区中能把清除过后的文件提取出来吗

您好，隔离区的样本是火绒处理之前样本的备份，所以您从隔离区提取的样本是火绒处理之前的样本

[病毒样本] 加密文件后缀为ReadInstructions的Medusalokcer家族新变种