疑似 Trojan.Win32.FlyStudio.iomqsz或勒索 x1

kdXiaoyi

标题的毒名是NANO报的。

样本竟然检测沙盒和虚拟机，微步没认出来。
疑似FlyStudio家族、勒索

微步地址：[>>>怼我<<<]
下载地址：[>>>微云<<<]
样本SHA256（也是解压密码）：[CF897194CE7E730C271F39F4EB003D3A24157434EAB0AE03B6862339C0DF0D2F]

样本后缀: .exe_
原后缀: .exe

有哪位大神虚拟机防检测的帮我跑跑谢谢~

来源：某Q友

正在缓冲

分流：https://wss1.cn/f/7fvj7a87jxm 复制链接到浏览器打开
毫无疑问，Avast又miss了不上报了，太累了

病毒样本收集者

MDE kill  靶机跑不出来  vt33
卡巴云 miss
行为：对文件系统执行各种更改。这些更改可以有多种目的，从确保持久性和从不同位置继续活动、存储信息或修改现有文件以限制访问或破坏用户数据。在系统的不同位置创建可执行副本。原始文件%profile%\downloads\qw.exe创建多个副本，名为：%profile%\appdata\local\temp\14a29.tmp文件%system directory%\ntdll.dll，%profile%\appdata\local\ temp\14ad5.tmp文件%system directory%\user32.dll，%profile%\appdata\local\temp\14b63.tmp文件%system directory%\gdi32.dll。原始文件%profile%\downloads\qw.exe复制以下文件：%system directory%\ntdll.dll到%profile%\appdata\local\temp\14a29.tmp，%system directory%\user32.dll到%profile%\ appdata\local\temp\14ad5.tmp , %system directory%\gdi32.dll到%profile%\appdata\local\temp\14b63.tmp。原文件%profile%\downloads\qw.exe删除了以下文件：%profile%\appdata\local\temp\14a29.tmp , %profile%\appdata\local\temp\14ad5.tmp , %profile%\appdata \local\temp\14b63.tmp。
复制六个文件：

• "c:\windows\system32\gdi32.dll" 到 "c:\users\admin\appdata\local\temp\14b63.tmp"
• "c:\windows\system32\ntdll.dll" 到 "c:\users\admin\appdata\local\temp\14a29.tmp"
• "c:\windows\syswow64\ntdll.dll" 到 "c:\users\admin\appdata\local\temp\14a29.tmp"
• "c:\windows\system32\user32.dll" 到 "c:\users\admin\appdata\local\temp\14ad5.tmp"
• "c:\windows\syswow64\user32.dll" 到 "c:\users\admin\appdata\local\temp\14ad5.tmp"
• "c:\windows\syswow64\gdi32.dll" 到 "c:\users\admin\appdata\local\temp\14b63.tmp"
  

删除

• “c:\users\admin\appdata\local\temp\14ad5.tmp”
• “c:\users\admin\appdata\local\temp\14b63.tmp”
• “c:\users\admin\appdata\local\temp\14a29.tmp”可能是为了隐藏痕迹？
  

同样提示虚拟机

sichuanwenxuan

ANY.LNK

MS Defender：入库Ransom:Win32/Cobra

wwwab

FlyStudio就是易语言程序的意思吧，人家是通杀的易语言，那有啥FlyStudio家族的病毒啊？……

11111111111445

安天kill

心心相印

McAfee kill

jdsh

Norton Security

x291502676

这密码是？