#WannaRen #Ransomware

显示全部楼层 · 发表于 2020-4-8 14:38:06

病毒探索者发表于 2020-4-8 14:33
这个dll火绒现在确实入库了，直接报WannaRen
同时BD云拉黑这个dll

那这的确是这个dll，等他们解密吧

显示全部楼层 · 发表于 2020-4-8 14:42:38

lovehhsw 发表于 2020-4-8 14:38
那这的确是这个dll，等他们解密吧

感觉这个dll是勒索本体的衍生物，本体不是自删了吗？

显示全部楼层 · 发表于 2020-4-8 14:45:18

本帖最后由 lovehhsw 于 2020-4-8 14:49 编辑

病毒探索者发表于 2020-4-8 14:42
感觉这个dll是勒索本体的衍生物，本体不是自删了吗？

貌似利用word？等火绒，360，腾讯团队他们来判断吧

显示全部楼层 · 发表于 2020-4-8 14:48:37

54ss 发表于 2020-4-8 13:58
过扫描不奇怪过主防的话还是要拿出证据来

卡巴都信任就没什么好说的了

显示全部楼层 · 发表于 2020-4-8 14:50:30

K560987 发表于 2020-4-8 14:48
卡巴都信任就没什么好说的了

拜托，卡巴信任的是那个exe，exe本来就是白文件，估计是被利用了，卡巴主防是看恶意行为的

显示全部楼层 · 发表于 2020-4-8 14:53:32

ESET
日志
F:\Virus\test\WannaRen\@WannaRen@.exe - Win32/Packed.VMProtect.QL 特洛伊木马的变种 - 通过删除清除 [1]

显示全部楼层 · 发表于 2020-4-8 14:55:30

ATP_synthase 发表于 2020-4-8 14:50
拜托，卡巴信任的是那个exe，exe本来就是白文件，估计是被利用了，卡巴主防是看恶意行为的

如果看恶意行为的话为啥有人说一开始都防不住?难道是一开始就不是本体?现在找到了吗?看了几个视频都是勒索界面没加密.

显示全部楼层 · 发表于 2020-4-8 14:55:34

K560987 发表于 2020-4-8 14:48
卡巴都信任就没什么好说的了

信任啥了？信任了也不代表能过主防啊

显示全部楼层 · 发表于 2020-4-8 14:56:32

lovehhsw 发表于 2020-4-8 14:45
貌似利用word？等火绒，360，腾讯团队他们来判断吧

打不开这个dll

（也许我操作不对）

显示全部楼层 · 发表于 2020-4-8 14:56:47

本帖最后由 ATP_synthase 于 2020-4-8 14:57 编辑

xiaomantou 发表于 2020-4-8 14:55
如果看恶意行为的话为啥有人说一开始都防不住?难道是一开始就不是本体?现在找到了吗?看了几个视频都是勒 ...

本贴最初的样本就是个解密器，不是本体啊http://bbs.huorong.cn/forum.php?mod=viewthread&tid=68297#lastpost，没有恶意行为为什么要拦截

[病毒样本] #WannaRen #Ransomware