Ransomware Amogus

显示全部楼层 · 发表于 2021-11-20 14:18:42

aboringman 发表于 2021-11-20 14:17
沙箱里面的文件几十MB（你懂的，数字还在增长）

ESET的ELG倒是罕见发威，然而好像是在5分钟默认block期之后才识别到的

显示全部楼层 · 发表于 2021-11-20 14:25:19

等等ELG杀了！！！！
看看可不可以复现

显示全部楼层 · 发表于 2021-11-20 14:27:53

本帖最后由 anthonyqian 于 2021-11-20 14:30 编辑

ICzcz 发表于 2021-11-20 14:25
等等ELG杀了！！！！
看看可不可以复现

可以的现在解压后无需上传 ELG就杀了。LiveGrid也变高危了。EIS估计扫描可以报Suspicious。

显示全部楼层 · 发表于 2021-11-20 14:32:56

anthonyqian 发表于 2021-11-20 14:18
ESET的ELG倒是罕见发威，然而好像是在5分钟默认block期之后才识别到的

单纯只是个变种呗

显示全部楼层 · 发表于 2021-11-20 14:36:07

Eset小粉絲发表于 2021-11-20 14:32
单纯只是个变种呗

大概率是要看下一次病毒库更新后的确切报法~

显示全部楼层 · 发表于 2021-11-20 14:39:49

anthonyqian 发表于 2021-11-20 14:36
大概率是要看下一次病毒库更新后的确切报法~

报法名没Amogus的话，我看最多也只是Filecoder / Kryptik了

显示全部楼层 · 发表于 2021-11-20 14:43:36

Eset小粉絲发表于 2021-11-20 14:39
报法名没Amogus的话，我看最多也只是Filecoder / Kryptik了

Amogus 就是加密的后缀罢了还不至于为他单独创建一个signature。。。

显示全部楼层 · 发表于 2021-11-20 14:47:57

anthonyqian 发表于 2021-11-20 14:43
Amogus 就是加密的后缀罢了还不至于为他单独创建一个signature。。。

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 24291.

疫苗预约信息确认.docx.exe - Win32/Filecoder.WannaCry.A trojan

这要看ESET那边了，这样本原本是以易语言报的，双击加密后也是WannaCry后辍。
后辍也值得作为Signature Detection。

显示全部楼层 · 发表于 2021-11-20 15:31:25

Avast
Win32:RansomX-gen[Ransom]

显示全部楼层 · 发表于 2021-11-20 16:03:19

fss kill。

[病毒样本] Ransomware Amogus

本帖子中包含更多资源