Devos Ransomware x1 (3/31)

显示全部楼层 · 发表于 2022-4-3 10:21:23

anthonyqian 发表于 2022-4-3 10:17
BD 主防同样拦截，检测ID：SuspiciousBehavior.E01F732429739CED

我是真没想到各家入库的时候居然只入了打包后的exe，而完全不管恶意dll，哪怕是以高启发闻名的ESET也是如此···

显示全部楼层 · 发表于 2022-4-3 10:25:44

swizzer 发表于 2022-4-3 10:21
我是真没想到各家入库的时候居然只入了打包后的exe，而完全不管恶意dll，哪怕是以高启发闻名的ESET ...

这个CRClient.dll昨天看瑞星拉黑了，现在又加白不报了。。。恶意的dll是不是这个呀

显示全部楼层 · 发表于 2022-4-3 10:27:25

本帖最后由 swizzer 于 2022-4-3 10:29 编辑

anthonyqian 发表于 2022-4-3 10:25
这个CRClient.dll昨天看瑞星拉黑了，现在又加白不报了。。。恶意的dll是不是这个呀

我觉得可能不止一个恶意dll，说不定是几个都得加载然后内存解密

至少libcui40是被智量入库了的

显示全部楼层 · 发表于 2022-4-3 10:41:46

HMPA单开CryptoGuard无法完全防御。（幸好HeapHeapProtect能在加密前拦截，虽然说不上来原理是什么···也许是Dll侧加载防护？）

显示全部楼层 · 发表于 2022-4-3 10:50:42

anthonyqian 发表于 2022-4-3 10:25
这个CRClient.dll昨天看瑞星拉黑了，现在又加白不报了。。。恶意的dll是不是这个呀

据坛友trumping说瑞星负责v17和esm365的病毒入库和引擎的就一人，可能忙的没仔细分析先拉黑再说，让他发到瑞星的群里，和那负责人说下，哈哈

显示全部楼层 · 发表于 2022-4-3 10:53:59

swizzer 发表于 2022-4-3 10:27
我觉得可能不止一个恶意dll，说不定是几个都得加载然后内存解密

至少libcui40是被智量入库了的
...

我去骚扰BD了

显示全部楼层 · 发表于 2022-4-3 10:59:04

eset

显示全部楼层 · 发表于 2022-4-3 10:59:15

本帖最后由 swizzer 于 2022-4-3 11:01 编辑

anthonyqian 发表于 2022-4-3 10:53
我去骚扰BD了

简单测试了下，把libcui40.dll摘出去之后程序能运行但是静止无行为；摘出去TmEvent/CRClient之后程序直接提示缺少dll；其他的一堆dll应该是运行库，问题不大

我猜测就是加载TmEvent和CRClient之后再对libcui40进行解密然后执行加密行为

~~感觉是个国人写的勒索~~
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓

显示全部楼层 · 发表于 2022-4-3 11:02:04

anthonyqian 发表于 2022-4-2 12:10
噫咖啡可是VT上比较早拉黑的厂商诶。。。怎么扫描miss了。。。是不是信誉没有拉黑到家用版查杀的门槛？

也有可能是网不好

显示全部楼层 · 发表于 2022-4-3 11:03:45

swizzer 发表于 2022-4-3 10:59
简单测试了下，把libcui40.dll摘出去之后程序能运行但是静止无行为；摘出去TmEvent/CRClient之后程序直接 ...

ground这个文件感觉也有问题

[病毒样本] Devos Ransomware x1 (3/31)