Ransom.DiskParasite

zay365

https://s.tencent.com/research/report/940.html

DiskParasite病毒加密文件前，会通过磁盘信息来判断是否在虚拟机环境，如果是，就不加密。
该病毒加密文件前，会检测以下注册表位置中的磁盘信息，当其中包含VMware，VBox相关信息时，则直接退出，不执行文件加密逻辑。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Disk\Enum

所以把实机中的这项导出，再复制到虚拟机中导入就能跑出加密行为了

swizzer

ESET
Win32/Filecoder.OAY 特洛伊木马 的变种

BE_HC

盒子

QVM360

epattack

微点

VicZ

火绒 HEUR:Ransom/LockFile.a

Miostartos

1. 文件名: vvv.exe
   
2. 威胁名称: Heur.AdvML.B完整路径: D:\test\123\vvv.exe
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上 
   
10. 2020/4/13 ( 10:32:38 )
    
11. 
    
12. 上次使用时间 
    
13. 2020/4/13 ( 10:34:38 )
    
14. 
    
15. 启动项 
    
16. 否
    
17. 
    
18. 已启动 
    
19. 否
    
20. 
    
21. 威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. vvv.exe 威胁名称: Heur.AdvML.B
    
27. 定位
    
28. 
    
29. 
    
30. 极少用户信任的文件
    
31. Norton 社区中有不到 5 名用户 使用了此文件。
    
32. 
    
33. 极新的文件
    
34. 该文件已在 不到 1 周 前发行。
    
35. 
    
36. 高
    
37. 此文件具有高风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. 来源: 外部介质
    
44. 
    
45. 源文件:
    
46. vvv.exe
    
47. 
    
48. ____________________________
    
49. 
    
50. 文件操作
    
51. 
    
52. 文件: D:\test\123\ vvv.exe 已删除
    
53. ____________________________
    
54. 
    
55. 
    
56. 文件指纹 - SHA:
    
57. 445fa7574ba7ff0fbd21ce9ea590838c98a9e289f34c89694575ec1de291dc68
    
58. 文件指纹 - MD5:
    
59. aa1e3414f490ad8107a372f4e63d88c6
    

复制代码

swizzer

智量
Heur.ML.PE.A

温馨小屋

卡巴

13.04.2020 10.56.39;检测到的对象 ( 文件 ) 已删除;Z:\vvv\vvv.exe;WinRAR 压缩文件管理器;Z:\vvv\vvv.exe;04/13/2020 10:56:39;UDS:Trojan-Ransom.Win32.Crypmodng

54ss

BD
c:\users\ljsjo\desktop\vvv.exe 是恶意软件 Gen:Heur.Ransom.Imps.3