收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 #WannaRen #Ransomware
12345678910... 22下一页
返回列表 发新帖
楼主: zay365
 收起左侧

[病毒样本] #WannaRen #Ransomware

  [复制链接]
SUARP-BIGNUM
发表于 2020-4-6 23:21:01 来自手机 | 显示全部楼层
a27573 发表于 2020-4-6 21:37
同样是学生
我只能看看简单的程序
大佬能逆VMP

我是菜鸡,放过我吧……
回复

举报

aphorism
发表于 2020-4-6 23:32:48 | 显示全部楼层
a445441 发表于 2020-4-6 06:04
微点MISS,挂了30分钟没有一点加密动作

有问题啊,有的人说中招了,有的说没事
难道是病毒源代码有针对性?
回复

举报

SUARP-BIGNUM
发表于 2020-4-6 23:37:02 | 显示全部楼层
aphorism 发表于 2020-4-6 23:32
有问题啊,有的人说中招了,有的说没事
难道是病毒源代码有针对性?

因为检测虚拟机和沙盒和WIN7,pass掉了很多智障
回复

举报

潘基炫
发表于 2020-4-6 23:57:18 来自手机 | 显示全部楼层
本帖最后由 潘基炫 于 2020-4-6 23:58 编辑

应该是检测虚拟机,检测到不加密。到这会儿应该都入库拉黑了吧
回复

举报

神龟Turmi
发表于 2020-4-7 00:07:51 | 显示全部楼层
203.208.43.154:443
似乎发现了一个google统计?
回复

举报

星星#星星
发表于 2020-4-7 00:31:53 | 显示全部楼层
卡巴ESET扫描被过,不敢实机双击
4/7 00:30
入库有点慢啊
回复

举报

54ss
发表于 2020-4-7 02:48:00 | 显示全部楼层
本帖最后由 54ss 于 2020-4-7 02:49 编辑

有个奇怪的问题 为啥这个勒索 国外厂商入库如此慢?

截至2020/4/7 2:49
BD入库了
回复

举报

FD丶纸鸢
发表于 2020-4-7 06:58:18 | 显示全部楼层
  1. 06:35:18[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:2.8.0.0

  3. 06:35:20[2]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsAlloc

  5. 06:35:20[3]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsGetValue

  7. 06:35:20[4]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsSetValue

  9. 06:35:20[5]:(允许)加载库文件:KERNEL32.DLL     函数名:FlsFree

  11. 06:35:20[6]:(允许)加载库文件:KERNEL32.DLL     函数名:EncodePointer

  13. 06:35:20[13]:(允许)加载库文件:KERNEL32.DLL     函数名:DecodePointer

  15. 06:35:20[15]:(允许)加载库文件:KERNEL32.DLL     函数名:EncodePointer

  17. 06:35:20[16]:(允许)加载库文件:KERNEL32.DLL     函数名:DecodePointer

  19. 06:35:20[17]:(允许)获取进程快照:系统全部进程

  21. 06:35:20[18]:(允许)修改自身进程内存     首地址:0xBC70005     写入Hex数据: E9 6B 15 53 6B

  23. 06:35:20[19]:(允许)修改自身进程内存     首地址:0xBC7000F     写入Hex数据: FF 25 15 00 C7 0B

  25. 06:35:20[20]:(允许)修改自身进程内存     首地址:0x771A1570     写入Hex数据: E9 9A EA AC 94

  27. 06:35:20[21]:(允许)修改自身进程内存     首地址:0xBC80008     写入Hex数据: E9 0B 91 57 6B

  29. 06:35:20[22]:(允许)修改自身进程内存     首地址:0xBC80015     写入Hex数据: FF 25 1B 00 C8 0B

  31. 06:35:20[23]:(允许)修改自身进程内存     首地址:0x771F9110     写入Hex数据: E9 00 6F A8 94

  33. 06:35:20[24]:(允许)修改自身进程内存     首地址:0xBC90005     写入Hex数据: E9 1B B7 C4 69

  35. 06:35:20[25]:(允许)修改自身进程内存     首地址:0xBC9000F     写入Hex数据: FF 25 15 00 C9 0B

  37. 06:35:20[26]:(允许)修改自身进程内存     首地址:0x758DB720     写入Hex数据: E9 EA 48 3B 96

  39. 06:35:20[27]:(允许)加载库文件:ntdll.dll     函数名:NtOpenKey

  41. 06:35:20[28]:(允许)修改自身进程内存     首地址:0xBCB0005     写入Hex数据: E9 7B F5 C1 69

  43. 06:35:20[29]:(允许)修改自身进程内存     首地址:0xBCB000F     写入Hex数据: FF 25 15 00 CB 0B

  45. 06:35:20[30]:(允许)修改自身进程内存     首地址:0x758CF580     写入Hex数据: E9 8A 0A 3E 96

  47. 06:35:20[31]:(允许)修改自身进程内存     首地址:0xBCC0005     写入Hex数据: E9 0B CF E9 68

  49. 06:35:20[32]:(允许)修改自身进程内存     首地址:0xBCC000F     写入Hex数据: FF 25 15 00 CC 0B

  51. 06:35:20[33]:(允许)修改自身进程内存     首地址:0x74B5CF10     写入Hex数据: E9 FA 30 16 97

  53. 06:35:20[34]:(允许)修改自身进程内存     首地址:0xBCD0005     写入Hex数据: E9 5B D0 E9 68

  55. 06:35:20[35]:(允许)修改自身进程内存     首地址:0xBCD000F     写入Hex数据: FF 25 15 00 CD 0B

  57. 06:35:20[36]:(允许)修改自身进程内存     首地址:0x74B6D060     写入Hex数据: E9 AA 2F 16 97

  59. 06:35:20[37]:(允许)获取进程快照:系统全部进程

  61. 06:35:21[38]:(允许)修改自身进程内存     首地址:0xBCE0005     写入Hex数据: E9 6B 22 50 6B

  63. 06:35:21[39]:(允许)修改自身进程内存     首地址:0xBCE000F     写入Hex数据: FF 25 15 00 CE 0B

  65. 06:35:21[40]:(允许)修改自身进程内存     首地址:0x771E2270     写入Hex数据: E9 9A DD AF 94

  67. 06:35:21[41]:(允许)修改自身进程内存     首地址:0xBCF0005     写入Hex数据: E9 EB AB 52 6B

  69. 06:35:21[42]:(允许)修改自身进程内存     首地址:0xBCF000F     写入Hex数据: FF 25 15 00 CF 0B

  71. 06:35:21[43]:(允许)修改自身进程内存     首地址:0x7721ABF0     写入Hex数据: E9 1A 54 AD 94

  73. 06:35:21[44]:(允许)加载库文件:KERNEL32     函数名:IsProcessorFeaturePresent

  75. 06:35:21[45]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

  77. 06:35:21[47]:(允许)字符串3:SOFTWARE\Microsoft\Windows\CurrentVersion\Themes\Personalize

  79. 06:35:21[48]:(允许)字符串3:AppsUseLightTheme

  81. 06:35:21[49]:(允许)字符串1:E:\病毒分析处\File_Analysis\File_safe\

  83. 06:35:21[50]:(允许)字符串1:@WannaRen@.exe

  85. 06:35:21[51]:(允许)字符串3:MSCTF.dll

  87. 06:35:21[52]:(允许)字符串3:C:\Windows\System32\MSCTF.dll

  89. 06:35:21[53]:(允许)字符串3:kernel32.dll

  91. 06:35:21[54]:(允许)字符串3:C:\Windows\Globalization\Sorting\sortdefault.nls

  93. 06:35:21[55]:(允许)内联文件路径:C:\Windows\Globalization\Sorting\sortdefault.nls

  95. 06:35:21[56]:(允许)字符串1:WannaRen

  97. 06:35:21[57]:(允许)字符串2:Window

  99. 06:35:21[58]:(允许)字符串1:按钮

  101. 06:35:21[59]:(允许)字符串1:解密

  103. 06:35:21[60]:(允许)字符串3:comctl32.dll

  105. 06:35:21[61]:(允许)字符串2:Button

  107. 06:35:21[62]:(允许)字符串2:Window

  109. 06:35:21[63]:(允许)字符串2:CompositedWindow::Window

  111. 06:35:21[64]:(允许)字符串3:comctl32.dll

  113. 06:35:21[65]:(允许)字符串2:Edit

  115. 06:35:21[66]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\FontLink\SystemLink

  117. 06:35:21[67]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\DataStore_V1.0

  119. 06:35:21[68]:(允许)字符串3:Disable

  121. 06:35:21[69]:(允许)字符串3:DataFilePath

  123. 06:35:21[70]:(允许)字符串3:C:\Windows\Fonts\staticcache.dat

  125. 06:35:21[71]:(允许)内联文件路径:C:\Windows\Fonts\staticcache.dat

  127. 06:35:21[72]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback

  129. 06:35:21[73]:(允许)字符串1:标签

  131. 06:35:21[74]:(允许)字符串1:密碼:

  133. 06:35:21[75]:(允许)字符串1:标签

  135. 06:35:21[76]:(允许)字符串1:本機key:

  137. 06:35:21[77]:(允许)字符串2:Edit

  139. 06:35:21[78]:(允许)字符串1:按钮

  141. 06:35:21[79]:(允许)字符串1:復制

  143. 06:35:21[80]:(允许)字符串2:Button

  145. 06:35:21[81]:(允许)字符串1:我的電腦出了什麽問題?
  146. 您的壹些重要文件被我加密保存了。
  147. 照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等,幾乎所有類型的文件都被加密了,因此不能正常打開。
  148. 這和壹般文件損壞有本質上的區別。
  149. 您大可在網上找找恢復文件的方法,我敢保證,沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔。

  151. 有沒有恢復這些文檔的方法?
  152. 當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保,能夠提供安全有效的恢復服務。
  153. 但這是收費的,也不能無限期的推遲。

  155. 但想要恢復全部文檔,需要付款點費用。
  156. 是否隨時都可以固定金額付款,就會恢復的嗎,當然不是,推遲付款時間越長對妳不利。
  157. 最好3天之內付款費用,過了三天費用就會翻倍。
  158. 還有,壹個禮拜之內未付款,將會永遠恢復不了。

  160. 我們只會接受比特幣。首先,您需要支付解密服務費。
  161. 請發送0.05個的比特幣到該比特幣地址:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
  162. 發送以後,請復制本軟件上的本機KEY和您付款給我們比特幣的時間發送到我們的郵箱地址WannaRenemal@goat.si 。
  163. 我們收到比特幣以後就會把您的解密密碼發送到您的郵箱。您拿到密碼以後,在本軟件上輸入密碼,就可以解密所有文件!

  165. 聯系方式:WannaRenemal@goat.si


  168. 我強烈建議,為了避免不必要的麻煩,恢復工作結束之前,請不要關閉或者刪除該軟件,並且暫停殺毒軟件。
  169. 不管由於什麽原因,萬壹該軟件被刪除了,

  171. 06:35:21[82]:(允许)字符串2:Edit

  173. 06:35:21[83]:(允许)字符串2:Window

  175. 06:35:21[84]:(允许)字符串3:zh-CN

  177. 06:35:21[85]:(允许)字符串3:C:\Windows\system32\uxtheme.dll

  179. 06:35:21[86]:(允许)字符串3:comctl32

  181. 06:35:21[87]:(允许)字符串3:E:\病毒分析处\File_Analysis\File_safe\@WannaRen@.exe.Local\

  183. 06:35:21[88]:(允许)字符串3:C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.18362.720_none_2e6bec9c2790ac71

  185. 06:35:21[89]:(允许)字符串2:ScrollBar

  187. 06:35:21[90]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  189. 06:35:21[91]:(允许)字符串3:TurnOffSPIAnimations

  191. 06:35:21[92]:(允许)字符串3:Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  193. 06:35:21[93]:(允许)字符串3:TurnOffSPIAnimations

  195. 06:35:21[94]:(允许)字符串2:我的電腦出了什麽問題?
  196. 您的壹些重要文件被我加密保存了。
  197. 照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等,幾乎所有類型的文件都被加密了,因此不能正常打開。
  198. 這和壹般文件損壞有本質上的區別。
  199. 您大可在網上找找恢復文件的方法,我敢保證,沒有我們的解密服務,就算老天爺來了也不能恢復這些文檔。

  201. 有沒有恢復這些文檔的方法?
  202. 當然有可恢復的方法。只能通過我們的解密服務才能恢復。我以人格擔保,能夠提供安全有效的恢復服務。
  203. 但這是收費的,也不能無限期的推遲。

  205. 但想要恢復全部文檔,需要付款點費用。
  206. 是否隨時都可以固定金額付款,就會恢復的嗎,當然不是,推遲付款時間越長對妳不利。
  207. 最好3天之內付款費用,過了三天費用就會翻倍。
  208. 還有,壹個禮拜之內未付款,將會永遠恢復不了。

  210. 我們只會接受比特幣。首先,您需要支付解密服務費。
  211. 請發送0.05個的比特幣到該比特幣地址:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM
  212. 發送以後,請復制本軟件上的本機KEY和您付款給我們比特幣的時間發送到我們的郵箱地址WannaRenemal@goat.si 。
  213. 我們收到比特幣以後就會把您的解密密碼發送到您的郵箱。您拿到密碼以後,在本軟件上輸入密碼,就可以解密所有文件!

  215. 聯系方式:WannaRenemal@goat.si


  218. 我強烈建議,為了避免不必要的麻煩,恢復工作結束之前,請不要關閉或者刪除該軟件,並且暫停殺毒軟件。
  219. 不管由於什麽原因,萬壹該軟件被刪除了,

  221. 06:35:21[95]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback

  223. 06:35:21[96]:(允许)字符串3:System

  225. 06:35:22[97]:(允许)字符串1:标签

  227. 06:35:22[98]:(允许)字符串1:比特幣付款地址:

  229. 06:35:22[99]:(允许)字符串1:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

  231. 06:35:22[100]:(允许)字符串2:Edit

  233. 06:35:22[101]:(允许)字符串2:1NXTgfGprVktuokv3ZLhGCPCjcKjXbswAM

  235. 06:35:22[102]:(允许)字符串1:按钮

  237. 06:35:22[103]:(允许)字符串1:復制

  239. 06:35:22[104]:(允许)字符串2:Button

  241. 06:35:22[105]:(允许)字符串1:E:\病毒分析处\File_Analysis\File_safe\想解密请看此文本.txt

  243. 06:35:22[107]:(允许)读取文件:E:\病毒分析处\File_Analysis\File_safe\想解密请看此文本.txt

  245. 06:35:22[108]:(允许)内联文件路径:E:\病毒分析处\File_Analysis\File_safe\想解密请看此文本.txt

  247. 06:35:22[109]:(允许)字符串1:C:\想解密请看此文本.txt

  249. 06:35:22[111]:(允许)读取文件:C:\想解密请看此文本.txt

  251. 06:35:22[112]:(允许)内联文件路径:C:\想解密请看此文本.txt

  253. 06:35:22[113]:(允许)字符串1:d:\想解密请看此文本.txt

  255. 06:35:22[115]:(允许)读取文件:d:\想解密请看此文本.txt

  257. 06:35:22[116]:(允许)内联文件路径:d:\想解密请看此文本.txt

  259. 06:35:22[117]:(允许)字符串1:e:\想解密请看此文本.txt

  261. 06:35:22[119]:(允许)读取文件:e:\想解密请看此文本.txt

  263. 06:35:22[120]:(允许)内联文件路径:e:\想解密请看此文本.txt

  265. 06:35:22[121]:(允许)字符串3:E:\病毒分析处\File_Analysis\File_safe\@WannaRen@.exe

  267. 06:35:22[122]:(允许)字符串3:SOFTWARE\Microsoft\CTF\Compatibility\@WannaRen@.exe

  269. 06:35:22[123]:(允许)字符串3:E:\病毒分析处\File_Analysis\File_safe\@WannaRen@.exe

  271. 06:35:22[124]:(允许)字符串3:SOFTWARE\Microsoft\CTF\Compatibility\@WannaRen@.exe

  273. 06:35:22[125]:(允许)字符串3:SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE

  275. 06:35:22[126]:(允许)字符串3:LaunchUserOOBE

  277. 06:35:22[127]:(允许)字符串3:rpcrt4.dll

  279. 06:35:22[128]:(允许)字符串3:Software\Policies\Microsoft\Windows NT\Rpc

  281. 06:35:22[129]:(允许)字符串3:Software\Microsoft\Rpc

  283. 06:35:22[130]:(允许)字符串3:IdleTimerWindow

  285. 06:35:22[131]:(允许)字符串3:SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE

  287. 06:35:22[132]:(允许)字符串3:LaunchUserOOBE

  289. 06:35:22[133]:(允许)字符串2:MSCTFIME::Function Provider

  291. 06:35:22[134]:(允许)字符串3:C:\Windows\SystemResources\USER32.dll.mun

  293. 06:35:22[135]:(允许)字符串1:比特幣付款地址:

  295. 06:35:22[136]:(允许)字符串3:SOFTWARE\Microsoft\Windows NT\CurrentVersion\LanguagePack\SurrogateFallback

  297. 06:35:23[137]:(允许)字符串1:本機key:

  299. 06:35:23[138]:(允许)字符串1:密碼:

  301. 06:35:28[139]:(阻止)系统操作:捕获按键消息

  303. 06:36:01[148]:(允许)字符串3:C:\Windows\System32\MSCTF.dll

  305. 06:36:01[149]:(允许)字符串3:TextInputFramework.dll

  307. 06:36:01[150]:(允许)字符串3:CoreUIComponents.dll

  309. 06:36:01[151]:(允许)字符串3:CoreMessaging.dll

  311. 06:36:01[152]:(允许)字符串3:ntmarta.dll

  313. 06:36:01[153]:(允许)字符串3:CoreMessaging.dll

  315. 06:36:01[154]:(允许)字符串3:wintypes.dll

  317. 06:36:01[155]:(允许)字符串3:C:\Windows\SYSTEM32\ntmarta.dll

  319. 06:36:01[156]:(允许)字符串3:C:\Windows\System32\CoreMessaging.dll

  321. 06:36:01[157]:(允许)字符串3:C:\Windows\SYSTEM32\wintypes.dll

  323. 06:36:01[158]:(允许)字符串3:C:\Windows\System32\CoreUIComponents.dll

  325. 06:36:01[159]:(允许)字符串3:C:\Windows\System32\TextInputFramework.dll

  327. 06:36:17[160]:(允许)字符串3:CoreUIComponents.dll

  329. 06:36:17[161]:(允许)字符串3:CoreMessaging.dll

  331. 06:36:17[162]:(允许)字符串3:ntmarta.dll

  333. 06:36:17[163]:(允许)字符串3:CoreMessaging.dll

  335. 06:36:17[164]:(允许)字符串3:wintypes.dll

  337. 06:36:17[165]:(允许)字符串3:C:\Windows\SYSTEM32\ntmarta.dll

  339. 06:36:17[166]:(允许)字符串3:C:\Windows\System32\CoreMessaging.dll

  341. 06:36:17[167]:(允许)字符串3:C:\Windows\SYSTEM32\wintypes.dll

  343. 06:36:17[168]:(允许)字符串3:C:\Windows\System32\CoreUIComponents.dll

  345. 06:36:17[169]:(允许)字符串3:C:\Windows\System32\TextInputFramework.dll

  347. 06:36:17[170]:(允许)字符串1:比特幣付款地址:

  349. 06:36:17[171]:(允许)字符串1:本機key:

  351. 06:36:17[172]:(允许)字符串1:密碼:

  353. 06:36:26[173]:(允许)字符串3:ext-ms-win-rtcore-ntuser-window-ext-l1-1-0.dll

  355. 06:36:26[174]:(允许)字符串3:ext-ms-win-rtcore-ntuser-integration-l1-1-0.dll

  357. 06:36:26[175]:(允许)字符串3:api-ms-win-core-com-l1-1-0.dll

  359. 06:36:27[176]:(允许)字符串3:Software\Microsoft\Windows NT\CurrentVersion\Windows

  361. 06:36:27[177]:(允许)字符串3:IsVailContainer

  363. 06:36:27[178]:(允许)字符串3:Software\Microsoft\Input

  365. 06:36:27[179]:(允许)字符串3:ResyncResetTime

  367. 06:36:27[180]:(允许)字符串3:MaxResyncAttempts

  369. 06:36:27[181]:(允许)字符串2:ole32.dll

  371. 06:36:27[182]:(允许)字符串3:C:\Windows\system32\ole32.dll

  373. 06:36:27[183]:(阻止)创建COM对象:201405008(CLSID)     pUnkOuter:0     dwClsContext:1     riid:1990042780     ppv:1701144

  375. 06:36:27[184]:(允许)字符串3:ext-ms-win-kernel32-errorhandling-l1-1-0.dll
复制代码
这后面就开始无响应了 也没见加密行为 可能是诺顿的DP拦截了吧一直在拦截File Analysis的可疑行为。。。。。。再次运行也没有加密迹象 直接弹窗
诺顿:Trojan.GEN.MBT
回复

举报

swizzer
发表于 2020-4-7 07:09:10 | 显示全部楼层
今天再次双击,win10 LTSC 1809,挂了1h+也没反应···

@SUARP-BIGNUM 这个东西有其他反侦查措施吗?
回复

举报

ELOHIM
发表于 2020-4-7 07:54:27 | 显示全部楼层
Kitanosan 发表于 2020-4-6 23:01
这玩意儿基本确定是云杀,我报给WDSI显示为云查而本地扫描正常。
顺带一提Occamy可能是全WD触发的最多的 ...

至于具体是哪种方式触发警报真的没有深究过。
不过,认真脸,微软会很负责的持续对病毒分类进行下一步的分析,然后重新命名并且纳入病毒百科。
而非天朝之流,35274981给一个索引可以查到就不管了。。

回复

举报

下一页 »
12345678910... 22下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 09:35 , Processed in 0.083179 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表