#Sodinokibi (2020-03-19)

显示全部楼层 · 发表于 2020-3-19 19:08:20

本帖最后由 QVM360 于 2020-3-19 19:13 编辑

RT，未改后缀请小心食用，后果自负。。

载点：https://www.lanzous.com/iafhfwj 密码：infected
Original+UPX+MD5+Aspack+ZProtecthttps://www.virustotal.com/gui/file/a6e5f904ce74936407a4a7e4a3ad707432958fbe02a672f8809960e1ad219f5f/detection

ESET牛逼！直接暴力脱ZProtect强壳！

@Jirehlov1234

显示全部楼层 · 发表于 2020-3-19 19:20:20

咖啡：我就算误报也要清空

显示全部楼层 · 发表于 2020-3-19 19:21:19

本帖最后由 a233 于 2020-3-19 19:33 编辑

Avast 3X

IDP防勒索不行不双击
19:28编辑
现在多杀了一个

19:32编辑
现在清空了，速度还可以

显示全部楼层 · 发表于 2020-3-19 19:21:36

记录微笑发表于 2020-3-19 19:20
咖啡：我就算误报也要清空

还有报backdoor的？！！

显示全部楼层 · 发表于 2020-3-19 19:23:29

QVM360 发表于 2020-3-19 19:21
还有报backdoor的？！！

是的

最近咖啡好像想提高查杀率，误报率也跟着上去了

显示全部楼层 · 发表于 2020-3-19 19:24:01

a233 发表于 2020-3-19 19:21
Avast 3X

IDP防勒索不行不双击

拦截一个

显示全部楼层 · 发表于 2020-3-19 19:36:22

显示全部楼层 · 发表于 2020-3-19 19:38:23

ANTIVIR、ClamAV、Defenx、Dr.Web、F-Secure、IKARUS 、k7、SOPHOS、迈克菲 kill

显示全部楼层 · 发表于 2020-3-19 19:39:22

腾讯哈勃测评
文件检测评级：
高度风险
文件名称：
#Ransomware.Sodinokibi.zip

MD5： ae6a2e5390835dc98a060a6951cfcf79
文件类型： zip
上传时间： 2020-03-19 19:34:58
出品公司： N/A
版本： N/A
壳或编译器信息： N/A
子文件信息：详情
关键行为
行为描述：获取TickCount值
详情信息：
TickCount = 218781, SleepMilliseconds = 500.

TickCount = 218875, SleepMilliseconds = 500.

TickCount = 218968, SleepMilliseconds = 500.

TickCount = 222828, SleepMilliseconds = 500.

TickCount = 222843, SleepMilliseconds = 500.

TickCount = 222875, SleepMilliseconds = 500.

TickCount = 222890, SleepMilliseconds = 500.

TickCount = 222906, SleepMilliseconds = 500.

TickCount = 222921, SleepMilliseconds = 500.

TickCount = 222953, SleepMilliseconds = 500.

TickCount = 222968, SleepMilliseconds = 500.

TickCount = 222984, SleepMilliseconds = 500.

TickCount = 223000, SleepMilliseconds = 500.

TickCount = 223015, SleepMilliseconds = 500.

TickCount = 223046, SleepMilliseconds = 500.

行为描述：直接获取CPU时钟
详情信息：
EAX = 0xe19fedc4, EDX = 0x000000b5

EAX = 0xe452ed40, EDX = 0x000000b5

EAX = 0xe47e1d7f, EDX = 0x000000b5

EAX = 0xe47e1dcb, EDX = 0x000000b5

EAX = 0xe4a94e0a, EDX = 0x000000b5

EAX = 0xe4d47e49, EDX = 0x000000b5

EAX = 0xe4d47e95, EDX = 0x000000b5

EAX = 0xe4ffaed4, EDX = 0x000000b5

EAX = 0xe52adf13, EDX = 0x000000b5

EAX = 0xe52adf5f, EDX = 0x000000b5

行为描述：疑似加密敲诈行为
详情信息：
N/A

行为描述：在桌面创建文件
详情信息：
C:\Documents and Settings\Administrator\桌面\6lg09er4-readme.txt

C:\Documents and Settings\All Users\桌面\6lg09er4-readme.txt

C:\Documents and Settings\Default User\桌面\6lg09er4-readme.txt

C:\Documents and Settings\root\桌面\6lg09er4-readme.txt

行为描述：修改注册表_启动项
详情信息：
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\k51299BQXH

进程行为
隐藏窗口创建进程
创建进程
创建本地线程
枚举进程
更多>>
文件行为
创建文件
查找文件
在桌面创建文件
修改原系统的可执行文件
重命名文件
修改文件内容
更多>>
注册表行为
修改注册表
修改注册表_启动项
更多>>
其他行为
创建互斥体
创建事件对象
疑似加密敲诈行为
删除服务
打开互斥体
搜索kernel32.dll基地址
调整进程token权限
打开事件
停止系统服务
调用Sleep函数
获取TickCount值
直接获取CPU时钟

显示全部楼层 · 发表于 2020-3-19 19:46:35

BD DeepScan发威清空
C:\Users\JOJO\Downloads\#Ransomware.Sodinokibi.zip=>#Ransomware.Sodinokibi/100k.ZProtect.exe DeepScan:Generic.Ransom.Sodinokibi.3ABD013A Deleted
C:\Users\JOJO\Downloads\#Ransomware.Sodinokibi.zip=>#Ransomware.Sodinokibi/100k.Aspack.exe DeepScan:Generic.Ransom.Sodinokibi.14F20D13 Deleted
C:\Users\JOJO\Downloads\#Ransomware.Sodinokibi.zip=>#Ransomware.Sodinokibi/100k.MD5.exe DeepScan:Generic.Ransom.Sodinokibi.B9A407C6 Deleted
C:\Users\JOJO\Downloads\#Ransomware.Sodinokibi.zip=>#Ransomware.Sodinokibi/100k.UPX.exe DeepScan:Generic.Ransom.Sodinokibi.6F96D7CF Deleted
C:\Users\JOJO\Downloads\#Ransomware.Sodinokibi.zip=>#Ransomware.Sodinokibi/100k.exe DeepScan:Generic.Ransom.Sodinokibi.B9A407C6 Deleted

[病毒样本] #Sodinokibi (2020-03-19)

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块