#WannaRen #Ransomware

显示全部楼层 · 发表于 2020-4-8 14:11:27

54ss 发表于 2020-4-8 13:58
过扫描不奇怪过主防的话还是要拿出证据来

这个最好还是等后期测试吧,第一页卡巴应该是在虚拟机里测的.诺顿这个是真的吗?

显示全部楼层 · 发表于 2020-4-8 14:20:49

xiaomantou 发表于 2020-4-8 14:11
这个最好还是等后期测试吧,第一页卡巴应该是在虚拟机里测的.诺顿这个是真的吗?

目前来说应该缺少证据支持。

显示全部楼层 · 发表于 2020-4-8 14:20:49

xiaomantou 发表于 2020-4-8 14:11
这个最好还是等后期测试吧,第一页卡巴应该是在虚拟机里测的.诺顿这个是真的吗?

你说4月5号晚上测试的，是在虚拟机环境下测的，当时在物理机上测试没扫出来。

4月7号在物理机上扫出来了（云杀），现在卡巴入了库

显示全部楼层 · 发表于 2020-4-8 14:20:54

病毒探索者发表于 2020-4-8 11:59
火绒、BDF扫描missed实体机断网影子模式下双击未见加密行为
火绒、BDF、Acronis Ransomware Protecti ...

火绒中午才刚刚入库可以试试看

显示全部楼层 · 发表于 2020-4-8 14:23:36

tntihd 发表于 2020-4-8 14:20
火绒中午才刚刚入库可以试试看

请问你说的是入库哪个？

显示全部楼层 · 发表于 2020-4-8 14:24:41

病毒探索者发表于 2020-4-8 14:23
请问你说的是入库哪个？

显示全部楼层 · 发表于 2020-4-8 14:26:33

ft-cai 发表于 2020-4-8 14:20
你说4月5号晚上测试的，是在虚拟机环境下测的，当时在物理机上测试没扫出来。

4月7号在物理机上扫出来 ...

一开始物理机上是只扫描没有运行吗?

显示全部楼层 · 发表于 2020-4-8 14:30:11

本帖最后由 ft-cai 于 2020-4-8 14:31 编辑

xiaomantou 发表于 2020-4-8 14:26
一开始物理机上是只扫描没有运行吗?

嗯，对的

后来在sandboxie（沙盒）下物理机运行也没问题。这个文件应该是一个勒索信，据我所知，目前好像没人跑出了勒索行为

显示全部楼层 · 发表于 2020-4-8 14:33:11

tntihd 发表于 2020-4-8 14:24
http://bbs.huorong.cn/forum.php?mod=viewthread&tid=68297#lastpost

这个dll火绒现在确实入库了，直接报WannaRen
同时BD云拉黑这个dll

显示全部楼层 · 发表于 2020-4-8 14:34:50

病毒探索者发表于 2020-4-8 14:33
这个dll火绒现在确实入库了，直接报WannaRen
同时BD云拉黑这个dll

拉了就安心了

[病毒样本] #WannaRen #Ransomware