楼主: zay365
收起左侧

[病毒样本] #WannaRen #Ransomware

  [复制链接]
SUARP-BIGNUM
发表于 2020-4-6 23:21:01 来自手机 | 显示全部楼层
a27573 发表于 2020-4-6 21:37
同样是学生
我只能看看简单的程序
大佬能逆VMP

我是菜鸡,放过我吧……
aphorism
发表于 2020-4-6 23:32:48 | 显示全部楼层
a445441 发表于 2020-4-6 06:04
微点MISS,挂了30分钟没有一点加密动作

有问题啊,有的人说中招了,有的说没事
难道是病毒源代码有针对性?
SUARP-BIGNUM
发表于 2020-4-6 23:37:02 | 显示全部楼层
aphorism 发表于 2020-4-6 23:32
有问题啊,有的人说中招了,有的说没事
难道是病毒源代码有针对性?

因为检测虚拟机和沙盒和WIN7,pass掉了很多智障
潘基炫
发表于 2020-4-6 23:57:18 来自手机 | 显示全部楼层
本帖最后由 潘基炫 于 2020-4-6 23:58 编辑

应该是检测虚拟机,检测到不加密。到这会儿应该都入库拉黑了吧
神龟Turmi
发表于 2020-4-7 00:07:51 | 显示全部楼层
203.208.43.154:443
似乎发现了一个google统计?
星星#星星
发表于 2020-4-7 00:31:53 | 显示全部楼层
卡巴ESET扫描被过,不敢实机双击
4/7 00:30
入库有点慢啊
54ss
发表于 2020-4-7 02:48:00 | 显示全部楼层
本帖最后由 54ss 于 2020-4-7 02:49 编辑

有个奇怪的问题 为啥这个勒索 国外厂商入库如此慢?

截至2020/4/7 2:49
BD入库了
FD丶纸鸢
发表于 2020-4-7 06:58:18 | 显示全部楼层
  1. 06:35:18[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:2.8.0.0

  2. 06:35:20[2]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsAlloc

  3. 06:35:20[3]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsGetValue

  4. 06:35:20[4]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsSetValue

  5. 06:35:20[5]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsFree

  6. 06:35:20[6]:(允许)加载库文件:KERNEL32.DLL     函数名:EncodePointer

  7. 06:35:20[13]:(允许)加载库文件:KERNEL32.DLL     函数名:DecodePointer

  8. 06:35:20[15]:(允许)加载库文件:KERNEL32.DLL     函数名:EncodePointer

  9. 06:35:20[16]:(允许)加载库文件:KERNEL32.DLL     函数名:DecodePointer

  10. 06:35:20[17]:(允许)获取进程快照:系统全部进程

  11. 06:35:20[18]:(允许)修改自身进程内存     首地址:0xBC70005     写入Hex数据: E9 6B 15 53 6B

  12. 06:35:20[19]:(允许)修改自身进程内存     首地址:0xBC7000F     写入Hex数据: FF 25 15 00 C7 0B

  13. 06:35:20[20]:(允许)修改自身进程内存     首地址:0x771A1570     写入Hex数据: E9 9A EA AC 94

  14. 06:35:20[21]:(允许)修改自身进程内存     首地址:0xBC80008     写入Hex数据: E9 0B 91 57 6B

  15. 06:35:20[22]:(允许)修改自身进程内存     首地址:0xBC80015     写入Hex数据: FF 25 1B 00 C8 0B

  16. 06:35:20[23]:(允许)修改自身进程内存     首地址:0x771F9110     写入Hex数据: E9 00 6F A8 94

  17. 06:35:20[24]:(允许)修改自身进程内存     首地址:0xBC90005     写入Hex数据: E9 1B B7 C4 69

  18. 06:35:20[25]:(允许)修改自身进程内存     首地址:0xBC9000F     写入Hex数据: FF 25 15 00 C9 0B

  19. 06:35:20[26]:(允许)修改自身进程内存     首地址:0x758DB720     写入Hex数据: E9 EA 48 3B 96

  20. 06:35:20[27]:(允许)加载库文件:ntdll.dll     函数名:NtOpenKey

  21. 06:35:20[28]:(允许)修改自身进程内存     首地址:0xBCB0005     写入Hex数据: E9 7B F5 C1 69

  22. 06:35:20[29]:(允许)修改自身进程内存     首地址:0xBCB000F     写入Hex数据: FF 25 15 00 CB 0B

  23. 06:35:20[30]:(允许)修改自身进程内存     首地址:0x758CF580     写入Hex数据: E9 8A 0A 3E 96

  24. 06:35:20[31]:(允许)修改自身进程内存     首地址:0xBCC0005     写入Hex数据: E9 0B CF E9 68

  25. 06:35:20[32]:(允许)修改自身进程内存     首地址:0xBCC000F     写入Hex数据: FF 25 15 00 CC 0B

  26. 06:35:20[33]:(允许)修改自身进程内存     首地址:0x74B5CF10     写入Hex数据: E9 FA 30 16 97

  27. 06:35:20[34]:(允许)修改自身进程内存     首地址:0xBCD0005     写入Hex数据: E9 5B D0 E9 68

  28. 06:35:20[35]:(允许)修改自身进程内存     首地址:0xBCD000F     写入Hex数据: FF 25 15 00 CD 0B

  29. 06:35:20[36]:(允许)修改自身进程内存     首地址:0x74B6D060     写入Hex数据: E9 AA 2F 16 97

  30. 06:35:20[37]:(允许)获取进程快照:系统全部进程

  31. 06:35:21[38]:(允许)修改自身进程内存     首地址:0xBCE0005     写入Hex数据: E9 6B 22 50 6B

  32. 06:35:21[39]:(允许)修改自身进程内存     首地址:0xBCE000F     写入Hex数据: FF 25 15 00 CE 0B

  33. 06:35:21[40]:(允许)修改自身进程内存     首地址:0x771E2270     写入Hex数据: E9 9A DD AF 94

  34. 06:35:21[41]:(允许)修改自身进程内存     首地址:0xBCF0005     写入Hex数据: E9 EB AB 52 6B

  35. 06:35:21[42]:(允许)修改自身进程内存     首地址:0xBCF000F     写入Hex数据: FF 25 15 00 CF 0B

  36. 06:35:21[43]:(允许)修改自身进程内存     首地址:0x7721ABF0     写入Hex数据: E9 1A 54 AD 94

  37. 06:35:21[44]:(允许)加载库文件:KERNEL32     函数名:IsProcessorFeaturePresent

  38. 06:35:21[45]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

  39. 06:35:21[47]:(允许)字符串3:SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\Personalize

  40. 06:35:21[48]:(允许)字符串3:AppsUseLightTheme

  41. 06:35:21[49]:(允许)字符串1:E:\病毒分析处\File_Analysis\File_safe\

  42. 06:35:21[50]:(允许)字符串1:@WannaRen@.exe

  43. 06:35:21[51]:(允许)字符串3:MSCTF.dll

  44. 06:35:21[52]:(允许)字符串3:C:\Windows\System32\MSCTF.dll

  45. 06:35:21[53]:(允许)字符串3:kernel32.dll

  46. 06:35:21[54]:(允许)字符串3:C:\Windows\Globalization\Sorting\sortdefault.nls

  47. 06:35:21[55]:(允许)内联文件路径:C:\Windows\Globalization\Sorting\sortdefault.nls

  48. 06:35:21[56]:(允许)字符串1:WannaRen

  49. 06:35:21[57]:(允许)字符串2:Window

  50. 06:35:21[58]:(允许)字符串1:按钮

  51. 06:35:21[59]:(允许)字符串1:解密

  52. 06:35:21[60]:(允许)字符串3:comctl32.dll

  53. 06:35:21[61]:(允许)字符串2:Button

  54. 06:35:21[62]:(允许)字符串2:Window

  55. 06:35:21[63]:(允许)字符串2:CompositedWindow::Window

  56. 06:35:21[64]:(允许)字符串3:comctl32.dll

  57. 06:35:21[65]:(允许)字符串2:Edit

  58. 06:35:21[66]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontLink\SystemLink

  59. 06:35:21[67]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\DataStore_V1.0

  60. 06:35:21[68]:(允许)字符串3:Disable

  61. 06:35:21[69]:(允许)字符串3:DataFilePath

  62. 06:35:21[70]:(允许)字符串3:C:\Windows\Fonts\staticcache.dat

  63. 06:35:21[71]:(允许)内联文件路径:C:\Windows\Fonts\staticcache.dat

  64. 06:35:21[72]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback

  65. 06:35:21[73]:(允许)字符串1:标签

  66. 06:35:21[74]:(允许)字符串1:密碼:

  67. 06:35:21[75]:(允许)字符串1:标签

  68. 06:35:21[76]:(允许)字符串1:本機key:

  69. 06:35:21[77]:(允许)字符串2:Edit

  70. 06:35:21[78]:(允许)字符串1:按钮

  71. 06:35:21[79]:(允许)字符串1:復制

  72. 06:35:21[80]:(允许)字符串2:Button

  73. 06:35:21[81]:(允许)字符串1:我的電腦出了什麽問題?
  74. 您的壹些重要文件被我加密保存了。
  75. 照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等,幾乎所有類型的文件都被加密了,因此不能正常打開。
  76. 這和壹般文件損壞有本質上的區別。
  77. 您大可在網上找找恢復文件的方法,我敢保證,沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔。

  78. 有沒有恢復這些文檔的方法?
  79. 當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保,能夠提供安全有效的恢復服務。
  80. 但這是收費的,也不能無限期的推遲。

  81. 但想要恢復全部文檔,需要付款點費用。
  82. 是否隨時都可以固定金額付款,就會恢復的嗎,當然不是,推遲付款時間越長對妳不利。
  83. 最好3天之內付款費用,過了三天費用就會翻倍。
  84. 還有,壹個禮拜之內未付款,將會永遠恢復不了。

  85. 我們只會接受比特幣。首先,您需要支付解密服務費。
  86. 請發送0.05個的比特幣到該比特幣地址:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
  87. 發送以後,請復制本軟件上的本機KEY和您付款給我們比特幣的時間發送到我們的郵箱地址WannaRenemal@goat.si 。
  88. 我們收到比特幣以後就會把您的解密密碼發送到您的郵箱。您拿到密碼以後,在本軟件上輸入密碼,就可以解密所有文件!

  89. 聯系方式:WannaRenemal@goat.si


  90. 我強烈建議,為了避免不必要的麻煩,恢復工作結束之前,請不要關閉或者刪除該軟件,並且暫停殺毒軟件。
  91. 不管由於什麽原因,萬壹該軟件被刪除了,

  92. 06:35:21[82]:(允许)字符串2:Edit

  93. 06:35:21[83]:(允许)字符串2:Window

  94. 06:35:21[84]:(允许)字符串3:zh-CN

  95. 06:35:21[85]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

  96. 06:35:21[86]:(允许)字符串3:comctl32

  97. 06:35:21[87]:(允许)字符串3:E:\病毒分析处\File_Analysis\File_safe\@WannaRen@.exe.Local\

  98. 06:35:21[88]:(允许)字符串3:C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.18362.720_none_2e6bec9c2790ac71

  99. 06:35:21[89]:(允许)字符串2:ScrollBar

  100. 06:35:21[90]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  101. 06:35:21[91]:(允许)字符串3:TurnOffSPIAnimations

  102. 06:35:21[92]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  103. 06:35:21[93]:(允许)字符串3:TurnOffSPIAnimations

  104. 06:35:21[94]:(允许)字符串2:我的電腦出了什麽問題?
  105. 您的壹些重要文件被我加密保存了。
  106. 照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等,幾乎所有類型的文件都被加密了,因此不能正常打開。
  107. 這和壹般文件損壞有本質上的區別。
  108. 您大可在網上找找恢復文件的方法,我敢保證,沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔。

  109. 有沒有恢復這些文檔的方法?
  110. 當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保,能夠提供安全有效的恢復服務。
  111. 但這是收費的,也不能無限期的推遲。

  112. 但想要恢復全部文檔,需要付款點費用。
  113. 是否隨時都可以固定金額付款,就會恢復的嗎,當然不是,推遲付款時間越長對妳不利。
  114. 最好3天之內付款費用,過了三天費用就會翻倍。
  115. 還有,壹個禮拜之內未付款,將會永遠恢復不了。

  116. 我們只會接受比特幣。首先,您需要支付解密服務費。
  117. 請發送0.05個的比特幣到該比特幣地址:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
  118. 發送以後,請復制本軟件上的本機KEY和您付款給我們比特幣的時間發送到我們的郵箱地址WannaRenemal@goat.si 。
  119. 我們收到比特幣以後就會把您的解密密碼發送到您的郵箱。您拿到密碼以後,在本軟件上輸入密碼,就可以解密所有文件!

  120. 聯系方式:WannaRenemal@goat.si


  121. 我強烈建議,為了避免不必要的麻煩,恢復工作結束之前,請不要關閉或者刪除該軟件,並且暫停殺毒軟件。
  122. 不管由於什麽原因,萬壹該軟件被刪除了,

  123. 06:35:21[95]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback

  124. 06:35:21[96]:(允许)字符串3:System

  125. 06:35:22[97]:(允许)字符串1:标签

  126. 06:35:22[98]:(允许)字符串1:比特幣付款地址:

  127. 06:35:22[99]:(允许)字符串1:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

  128. 06:35:22[100]:(允许)字符串2:Edit

  129. 06:35:22[101]:(允许)字符串2:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

  130. 06:35:22[102]:(允许)字符串1:按钮

  131. 06:35:22[103]:(允许)字符串1:復制

  132. 06:35:22[104]:(允许)字符串2:Button

  133. 06:35:22[105]:(允许)字符串1:E:\病毒分析处\File_Analysis\File_safe\想解密请看此文本.txt

  134. 06:35:22[107]:(允许)读取文件:E:\病毒分析处\File_Analysis\File_safe\想解密请看此文本.txt

  135. 06:35:22[108]:(允许)内联文件路径:E:\病毒分析处\File_Analysis\File_safe\想解密请看此文本.txt

  136. 06:35:22[109]:(允许)字符串1:C:\想解密请看此文本.txt

  137. 06:35:22[111]:(允许)读取文件:C:\想解密请看此文本.txt

  138. 06:35:22[112]:(允许)内联文件路径:C:\想解密请看此文本.txt

  139. 06:35:22[113]:(允许)字符串1:d:\想解密请看此文本.txt

  140. 06:35:22[115]:(允许)读取文件:d:\想解密请看此文本.txt

  141. 06:35:22[116]:(允许)内联文件路径:d:\想解密请看此文本.txt

  142. 06:35:22[117]:(允许)字符串1:e:\想解密请看此文本.txt

  143. 06:35:22[119]:(允许)读取文件:e:\想解密请看此文本.txt

  144. 06:35:22[120]:(允许)内联文件路径:e:\想解密请看此文本.txt

  145. 06:35:22[121]:(允许)字符串3:E:\病毒分析处\File_Analysis\File_safe\@WannaRen@.exe

  146. 06:35:22[122]:(允许)字符串3:SOFTWARE\Microsoft\CTF\Compatibility\@WannaRen@.exe

  147. 06:35:22[123]:(允许)字符串3:E:\病毒分析处\File_Analysis\File_safe\@WannaRen@.exe

  148. 06:35:22[124]:(允许)字符串3:SOFTWARE\Microsoft\CTF\Compatibility\@WannaRen@.exe

  149. 06:35:22[125]:(允许)字符串3:SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE

  150. 06:35:22[126]:(允许)字符串3:LaunchUserOOBE

  151. 06:35:22[127]:(允许)字符串3:rpcrt4.dll

  152. 06:35:22[128]:(允许)字符串3:Software\Policies\Microsoft\Windows NT\Rpc

  153. 06:35:22[129]:(允许)字符串3:Software\Microsoft\Rpc

  154. 06:35:22[130]:(允许)字符串3:IdleTimerWindow

  155. 06:35:22[131]:(允许)字符串3:SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE

  156. 06:35:22[132]:(允许)字符串3:LaunchUserOOBE

  157. 06:35:22[133]:(允许)字符串2:MSCTFIME::Function Provider

  158. 06:35:22[134]:(允许)字符串3:C:\Windows\SystemResources\USER32.dll.mun

  159. 06:35:22[135]:(允许)字符串1:比特幣付款地址:

  160. 06:35:22[136]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback

  161. 06:35:23[137]:(允许)字符串1:本機key:

  162. 06:35:23[138]:(允许)字符串1:密碼:

  163. 06:35:28[139]:(阻止)系统操作:捕获按键消息

  164. 06:36:01[148]:(允许)字符串3:C:\Windows\System32\MSCTF.dll

  165. 06:36:01[149]:(允许)字符串3:TextInputFramework.dll

  166. 06:36:01[150]:(允许)字符串3:CoreUIComponents.dll

  167. 06:36:01[151]:(允许)字符串3:CoreMessaging.dll

  168. 06:36:01[152]:(允许)字符串3:ntmarta.dll

  169. 06:36:01[153]:(允许)字符串3:CoreMessaging.dll

  170. 06:36:01[154]:(允许)字符串3:wintypes.dll

  171. 06:36:01[155]:(允许)字符串3:C:\Windows\SYSTEM32\ntmarta.dll

  172. 06:36:01[156]:(允许)字符串3:C:\Windows\System32\CoreMessaging.dll

  173. 06:36:01[157]:(允许)字符串3:C:\Windows\SYSTEM32\wintypes.dll

  174. 06:36:01[158]:(允许)字符串3:C:\Windows\System32\CoreUIComponents.dll

  175. 06:36:01[159]:(允许)字符串3:C:\Windows\System32\TextInputFramework.dll

  176. 06:36:17[160]:(允许)字符串3:CoreUIComponents.dll

  177. 06:36:17[161]:(允许)字符串3:CoreMessaging.dll

  178. 06:36:17[162]:(允许)字符串3:ntmarta.dll

  179. 06:36:17[163]:(允许)字符串3:CoreMessaging.dll

  180. 06:36:17[164]:(允许)字符串3:wintypes.dll

  181. 06:36:17[165]:(允许)字符串3:C:\Windows\SYSTEM32\ntmarta.dll

  182. 06:36:17[166]:(允许)字符串3:C:\Windows\System32\CoreMessaging.dll

  183. 06:36:17[167]:(允许)字符串3:C:\Windows\SYSTEM32\wintypes.dll

  184. 06:36:17[168]:(允许)字符串3:C:\Windows\System32\CoreUIComponents.dll

  185. 06:36:17[169]:(允许)字符串3:C:\Windows\System32\TextInputFramework.dll

  186. 06:36:17[170]:(允许)字符串1:比特幣付款地址:

  187. 06:36:17[171]:(允许)字符串1:本機key:

  188. 06:36:17[172]:(允许)字符串1:密碼:

  189. 06:36:26[173]:(允许)字符串3:ext-ms-win-rtcore-ntuser-window-ext-l1-1-0.dll

  190. 06:36:26[174]:(允许)字符串3:ext-ms-win-rtcore-ntuser-integration-l1-1-0.dll

  191. 06:36:26[175]:(允许)字符串3:api-ms-win-core-com-l1-1-0.dll

  192. 06:36:27[176]:(允许)字符串3:Software\Microsoft\Windows NT\CurrentVersion\Windows

  193. 06:36:27[177]:(允许)字符串3:IsVailContainer

  194. 06:36:27[178]:(允许)字符串3:Software\Microsoft\Input

  195. 06:36:27[179]:(允许)字符串3:ResyncResetTime

  196. 06:36:27[180]:(允许)字符串3:MaxResyncAttempts

  197. 06:36:27[181]:(允许)字符串2:ole32.dll

  198. 06:36:27[182]:(允许)字符串3:C:\Windows\system32\ole32.dll

  199. 06:36:27[183]:(阻止)创建COM对象:201405008(CLSID)     pUnkOuter:0     dwClsContext:1     riid:1990042780     ppv:1701144

  200. 06:36:27[184]:(允许)字符串3:ext-ms-win-kernel32-errorhandling-l1-1-0.dll
复制代码
这后面就开始无响应了 也没见加密行为 可能是诺顿的DP拦截了吧一直在拦截File Analysis的可疑行为。。。。。。再次运行也没有加密迹象 直接弹窗
诺顿:Trojan.GEN.MBT
swizzer
发表于 2020-4-7 07:09:10 | 显示全部楼层
今天再次双击,win10 LTSC 1809,挂了1h+也没反应···

@SUARP-BIGNUM 这个东西有其他反侦查措施吗?
ELOHIM
发表于 2020-4-7 07:54:27 | 显示全部楼层
Kitanosan 发表于 2020-4-6 23:01
这玩意儿基本确定是云杀,我报给WDSI显示为云查而本地扫描正常。
顺带一提Occamy可能是全WD触发的最多的 ...

至于具体是哪种方式触发警报真的没有深究过。
不过,认真脸,微软会很负责的持续对病毒分类进行下一步的分析,然后重新命名并且纳入病毒百科。
而非天朝之流,35274981给一个索引可以查到就不管了。。

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:29 , Processed in 0.099484 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表