Magniber ransomware x1

lingdu233

诺顿扫描miss
虚拟机里装一个更一年就不测双击了

biue

bananas12138 发表于 2022-5-19 21:51
双击杀吗？

msi文件现在火绒双击都不会杀，只有扫描会杀

anthonyqian

ESET 改了下MD5过了Generik，扫描改报其中的恶意dll了

日志
changedMD5--b3bc117f0242c26f453ca5ebe5ed4ef61ff1e5be9b2f6942ea805464fb8acdcc.msi > MSI > Binary.e5pj3oa561y - Win32/Injector.ERRA 特洛伊木马 的变量 - 已删除

00006666

bananas12138 发表于 2022-5-19 21:51
双击杀吗？

测试了下，火绒 实时监控+主动防御  开启勒索诱捕

文件全部被加密  





中途实时监控隔离文件，但是没有任何作用

1. 病毒名称：Ransom/LockFile.et
   
2. 病毒ID：40DC8F4F1BE79F19
   
3. 病毒路径：C:\Windows\Installer\MSIDD3A.tmp
   
4. 操作类型：执行
   
5. 操作结果：已处理
   
6. 
   
7. 进程ID：7688
   
8. 操作进程：C:\Windows\System32\msiexec.exe
   
9. 操作进程命令行：C:\Windows\System32\MsiExec.exe -Embedding 33383627BDAC14F9DE9089BD5787F036
   
10. 父进程：C:\Windows\System32\msiexec.exe

复制代码

1. 防护项目：命令行删除卷影还原点
   
2. 执行文件：C:\Windows\System32\wbadmin.exe
   
3. 执行命令行："C:\Windows\System32\wbadmin.exe" delete systemstatebackup -quiet
   
4. 操作结果：已阻止
   
5. 
   
6. 进程ID：6640
   
7. 操作进程：C:\Windows\system32\scrobj.dll
   
8. 操作进程命令行："regsvr32.exe" scrobj.dll /s /u /n /i:../../../Users/Public/ln306zi18
   
9. 父进程ID：6732
   
10. 父进程：C:\Windows\System32\fodhelper.exe
    
11. 父进程命令行：fodhelper.exe

复制代码

LSPD

MD 双击 miss
文件被加密
没有触发勒索防护

wwwab

卡巴通杀特征在我之前样本当中就已经被突破一次了：https://bbs.kafan.cn/thread-2235170-1-1.html

当时Vt报毒率也是2家，咋没人来支持我

anxiety520

wwwab 发表于 2022-5-19 22:20
卡巴通杀特征在我之前样本当中就已经被突破一次了：https://bbs.kafan.cn/thread-2235170-1-1.html

当时 ...

vho一直很迷，之前一直以为改md5依旧会报毒来着......

anthonyqian

wwwab 发表于 2022-5-19 22:20
卡巴通杀特征在我之前样本当中就已经被突破一次了：https://bbs.kafan.cn/thread-2235170-1-1.html

当时 ...

卡巴的特征算比较坚挺的了。。。

swizzer

先是虚拟机里杀掉，关掉SysCall组件后实体机的HMPA把VM Ware识别为Ransom

（果然共享文件夹不应该开啊）











智量主防依然坚挺

00006666

swizzer 发表于 2022-5-19 22:33
先是虚拟机里杀掉，关掉SysCall组件后实体机的HMPA把VM Ware识别为Ransom

（果然共享文件夹 ...

突然发现智量好像是把那个系统用来运行MSI的文件给清除了

有完整日志吗，我看一下。