收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 新型#Ransomware (2020-03-25),过VT一堆杀软!
1234567下一页
返回列表 发新帖
楼主: QVM360
 收起左侧

[病毒样本] 新型#Ransomware (2020-03-25),过VT一堆杀软!

  [复制链接]
病毒探索者
发表于 2020-3-25 10:14:28 | 显示全部楼层
病毒探索者 发表于 2020-3-25 10:00
Acronis True Image 2020 一声不吭就阻止,可以啊(由于时间关系仅仅测试了1.exe)

在关闭Acronis True Image的保护时,立即打开Norton保护,这段时间文件被部分加密,
之后Norton 数据保护阻止,Sonar杀,各种回滚。
由于测试不严谨,无法得出Norton可以完美防御此勒索的结论,还希望有人可以在Norton打开保护时再测测。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

LSPD
发表于 2020-3-25 10:44:51 | 显示全部楼层
Norton 双击原样本
  1. 文件名: 1.exe
  2. 威胁名称: SONAR.Cryptlocker!g57完整路径: 不可用

  4. ____________________________

  6. ____________________________


  9. 在电脑上
  10. 2020/3/25 ( 8:34:20 )

  12. 上次使用时间
  13. 2020/3/25 ( 8:34:20 )

  15. 启动项


  18. 已启动


  21. SONAR 主动防护监视电脑上的可疑程序活动。

  23. ____________________________


  26. 1.exe 威胁名称: SONAR.Cryptlocker!g57
  27. 定位


  30. 极少用户信任的文件
  31. Norton 社区中有不到 5 名用户 使用了此文件。

  33. 极新的文件
  34. 该文件已在 不到 1 周 前发行。


  37. 此文件具有高风险。


  40. ____________________________


  43. 来源: 外部介质

  45. 源文件:
  46. WinRAR.exe

  48. 创建的文件:
  49. 1.exe

  51. ____________________________

  53. 文件操作

  55. 文件: c:\Users\msi\Desktop\新建文件夹 (2)\#ransomware (2020-03-25)\#ransomware (2020-03-25)\ 1.exe 威胁已删除
  56. 文件: c:\Users\msi\AppData\Local\Temp\ microsoft .net framework 4 setup_20200325_101906304-msi_netfx_core_x64.msi.txt.kekw 威胁已删除
  57. 文件: c:\Users\msi\AppData\Local\Temp\ microsoft .net framework 4 setup_20200325_101906304-msi_netfx_extended_x64.msi.txt.kekw 威胁已删除
  58. 文件: c:\$Recycle.Bin\s-1-5-21-3595441436-1941089481-2624649040-1000\$RWDB3ST\#ransomware (2020-03-25)\ Decrypt.txt 威胁已删除
  59. 文件: c:\$Recycle.Bin\s-1-5-21-3595441436-1941089481-2624649040-1000\$RWDB3ST\ Decrypt.txt 威胁已删除
  60. 文件: c:\$Recycle.Bin\s-1-5-21-3595441436-1941089481-2624649040-1000\ Decrypt.txt 威胁已删除
  61. 文件: c:\programdata\microsoft\Crypto\DSS\machinekeys\ Decrypt.txt 威胁已删除
  62. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\ background.png.kekw 威胁已删除
  63. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\ device.png.kekw 威胁已删除
  64. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\ overlay.png.kekw 威胁已删除
  65. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\ superbar.png.kekw 威胁已删除
  66. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{113527a4-45d4-4b6f-b567-97838f1b04b0}\ Decrypt.txt 威胁已删除
  67. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{8702d817-5aad-4674-9ef3-4d3decd87120}\ background.png.kekw 威胁已删除
  68. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{8702d817-5aad-4674-9ef3-4d3decd87120}\ watermark.png.kekw 威胁已删除
  69. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\{8702d817-5aad-4674-9ef3-4d3decd87120}\ Decrypt.txt 威胁已删除
  70. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Device\ Decrypt.txt 威胁已删除
  71. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\zh-CN\ Decrypt.txt 威胁已删除
  72. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Task\{07deb856-fc6e-4fb9-8add-d8f2cf8722c9}\ Decrypt.txt 威胁已删除
  73. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\zh-CN\ Decrypt.txt 威胁已删除
  74. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Task\{e35be42d-f742-4d96-a50a-1775fb1a7a42}\ Decrypt.txt 威胁已删除
  75. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\Task\ Decrypt.txt 威胁已删除
  76. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\device stage\ Decrypt.txt 威胁已删除
  77. 文件: c:\programdata\microsoft\devicesync\ Decrypt.txt 威胁已删除
  78. 文件: c:\programdata\microsoft\eHome\logs\ Decrypt.txt 威胁已删除
  79. 文件: c:\programdata\microsoft\eHome\ Decrypt.txt 威胁已删除
  80. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\IME14\IMESC\DICTS\ Decrypt.txt 威胁已删除
  81. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\IME14\IMESC\HELP\ Decrypt.txt 威胁已删除
  82. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\IME14\IMESC\ Decrypt.txt 威胁已删除
  83. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\IME14\ Decrypt.txt 威胁已删除
  84. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\media player\ Decrypt.txt 威胁已删除
  85. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\MSDN\8.0\ Decrypt.txt 威胁已删除
  86. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\MSDN\ Decrypt.txt 威胁已删除
  87. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\OFFICE\uicaptions\1033\ Decrypt.txt 威胁已删除
  88. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\OFFICE\uicaptions\1041\ Decrypt.txt 威胁已删除
  89. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\OFFICE\uicaptions\ Decrypt.txt 威胁已删除
  90. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\OFFICE\ Decrypt.txt 威胁已删除
  91. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\officesoftwareprotectionplatform\Cache\ cache.dat.kekw 威胁已删除
  92. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\officesoftwareprotectionplatform\Cache\ Decrypt.txt 威胁已删除
  93. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\officesoftwareprotectionplatform\ tokens.dat.kekw 威胁已删除
  94. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\officesoftwareprotectionplatform\ Decrypt.txt 威胁已删除
  95. 文件: c:\programdata\microsoft\RAC\publisheddata\ Decrypt.txt 威胁已删除
  96. 文件: c:\programdata\microsoft\RAC\Temp\ Decrypt.txt 威胁已删除
  97. 文件: c:\programdata\microsoft\user account pictures\ guest.bmp.kekw 威胁已删除
  98. 文件: c:\programdata\microsoft\user account pictures\ msi.dat.kekw 威胁已删除
  99. 文件: c:\programdata\microsoft\user account pictures\ user.bmp.kekw 威胁已删除
  100. 文件: c:\programdata\microsoft\user account pictures\ Decrypt.txt 威胁已删除
  101. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\Vault\ Decrypt.txt 威胁已删除
  102. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\WwanSvc\ Decrypt.txt 威胁已删除
  103. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft\ Decrypt.txt 威胁已删除
  104. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\microsoft help\ Decrypt.txt 威胁已删除
  105. 文件: c:\programdata\Norton\localdumps\ Decrypt.txt 威胁已删除
  106. 文件: c:\programdata\Norton\{086a63f0-6b13-4f29-9695-134e7a01e963}\ Decrypt.txt 威胁已删除
  107. 文件: c:\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\AntiSpam\submissions\ Decrypt.txt 威胁已删除
  108. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\AntiSpam\ Decrypt.txt 威胁已删除
  109. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\hlinks\ Decrypt.txt 威胁已删除
  110. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\BASH\ bashintl.dat.kekw 威胁已删除
  111. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\BASH\ bashopts.dat.kekw 威胁已删除
  112. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\BASH\ shdsettg.dat.kekw 威胁已删除
  113. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\BASH\ spsettg.dat.kekw 威胁已删除
  114. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\CmnClnt\ccSetMgr\ 09802d23-2630-45d2-a53f-02cc43a625e1.dat.kekw 威胁已删除
  115. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\CmnClnt\ccSetMgr\ 09fbf3a3-e839-4cd2-ad29-8ae16f767fee.dat.kekw 威胁已删除
  116. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\CmnClnt\ccSetMgr\ 4a5bd0f3-0cdb-49b5-93e2-a4e96036fb17.dat.kekw 威胁已删除
  117. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\CmnClnt\ccSetMgr\ 7215e929-f897-4c80-bc5b-99f711225de0.dat.kekw 威胁已删除
  118. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\CmnClnt\ccSetMgr\ a19a6eb3-2b28-4542-9838-fc9b80f6afea.dat.kekw 威胁已删除
  119. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\CmnClnt\ccSetMgr\ b27094a3-8531-4744-84b3-b227af9a6f96.dat.kekw 威胁已删除
  120. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\CmnClnt\ccSetMgr\ settings_22.20.1.69.dat.kekw 威胁已删除
  121. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\diMaster\ eula.dat.kekw 威胁已删除
  122. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\diMaster\ service.dat.kekw 威胁已删除
  123. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\ErrMgmt\ log.dat.kekw 威胁已删除
  124. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\ErrMgmt\ nasa-server.dat.kekw 威胁已删除
  125. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\ErrMgmt\ ping.dat.kekw 威胁已删除
  126. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\ErrMgmt\ sqclient.dat.kekw 威胁已删除
  127. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\ErrMgmt\ sqreg.dat.kekw 威胁已删除
  128. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\IPUA\ ipua.dat.kekw 威胁已删除
  129. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\IRON\ ironstate.dat.kekw 威胁已删除
  130. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\itbluregbranding\ {d4f4cc32-7a41-4684-ae57-41e59e9b4503}.dat.kekw 威胁已删除
  131. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\NCO\ formdata.dat.kekw 威胁已删除
  132. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\NCO\ nppw.dat.kekw 威胁已删除
  133. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\NCW\ perfausr.dat.kekw 威胁已删除
  134. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\quickstart\ app_db.dat.kekw 威胁已删除
  135. 文件: c:\Users\msi\AppData\Local\virtualstore\programdata\Norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\ngc_22.20.1.69\quickstart\ qssubmission.dat.kekw 威胁已删除
  136. ____________________________

  138. 系统设置操作

  140. 事件: 进程启动 (执行者 c:\users\msi\desktop\新建文件夹 (2)\#ransomware (2020-03-25)\#ransomware (2020-03-25)\1.exe, PID:4008) 未采取操作
  141. 事件: 进程启动: c:\users\msi\desktop\新建文件夹 (2)\#ransomware (2020-03-25)\#ransomware (2020-03-25)\ 1.exe, PID:4008 (执行者 c:\users\msi\desktop\新建文件夹 (2)\#ransomware (2020-03-25)\#ransomware (2020-03-25)\1.exe, PID:4008) 未采取操作
  142. 事件: 进程启动 (执行者 c:\users\msi\desktop\新建文件夹 (2)\#ransomware (2020-03-25)\#ransomware (2020-03-25)\1.exe, PID:2792) 未采取操作
  143. ____________________________


  146. 文件指纹 - SHA:
  147. 不可用
  148. 文件指纹 - MD5:
  149. 不可用
复制代码
文件被加密,但原文件未被删除
@病毒探索者

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

病毒探索者
发表于 2020-3-25 12:14:03 | 显示全部楼层
LSPD 发表于 2020-3-25 10:44
Norton 双击原样本
文件被加密,但原文件未被删除
@病毒探索者

这是Data Protector的功劳?
回复

举报

LSPD
发表于 2020-3-25 12:16:39 | 显示全部楼层
病毒探索者 发表于 2020-3-25 12:14
这是Data Protector的功劳?

不清楚是Data Protector的功劳还是在删除原文件时杀掉了
回复

举报

莒县小哥
发表于 2020-3-25 12:41:09 | 显示全部楼层
Microsoft

Ransom:Win32/Genasom
回复

举报

Miostartos
发表于 2020-3-25 12:51:10 | 显示全部楼层
LSPD 发表于 2020-3-25 12:16
不清楚是Data Protector的功劳还是在删除原文件时杀掉了

DP只会阻止行为不会干掉进程的。
这是sonar

评分

参与人数 1人气 +1 收起 理由
LSPD + 1 感谢解答: )

查看全部评分

回复

举报

,就一个.
发表于 2020-3-25 13:16:09 | 显示全部楼层
本帖最后由 ,就一个. 于 2020-3-25 13:18 编辑

ESET 扫描全miss
双击 只报第三个的衍生物 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见2020/3/25 13:16:34;高级内存扫描程序;文件;系统内存 > 1.ZProtect.exe(6860);Win32/Packed.ZProtect.H 可疑应用程序 的变种;已清除 - 包含被感染的文件;;;30D7A6DDDFDD9A10C4C9306223B9F95B7722019B;


回复

举报

病毒探索者
发表于 2020-3-25 13:24:30 | 显示全部楼层
Miostartos 发表于 2020-3-25 12:51
DP只会阻止行为不会干掉进程的。
这是sonar

emmm,其实我是想问原文件(或者说副本)还在(尽管原文件被加密了)是Data Protector的功劳还是sonar的功劳
回复

举报

病毒探索者
发表于 2020-3-25 13:25:11 | 显示全部楼层
,就一个. 发表于 2020-3-25 13:16
ESET 扫描全miss
双击 只报第三个的衍生物 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈 ...

文件被加密了吗?
回复

举报

,就一个.
发表于 2020-3-25 13:31:43 | 显示全部楼层
病毒探索者 发表于 2020-3-25 13:25
文件被加密了吗?

全部被加密  期间HIPS弹出提示我都点阻止  没用 ESET对新勒索这一块真的是无能为力
回复

举报

下一页 »
1234567下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-20 23:53 , Processed in 0.104038 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表