勒索病毒

一只Lunda

一个勒索病毒

病毒来自的钓鱼网页：Free E-Book Download (boxuzheng.xyz) 病毒文件格式为.msi，本体大小为10.5MB，病毒样本： 链接：https://pan.baidu.com/s/1Qqj9i3YNj4c17KciyOpAPQ?pwd=ah0v 提取码：ah0v --来自百度网盘超级会员V6的分享 被封锁文件样本（后缀多出.vsshqrqq，删除后缀后权限受限，显示为乱码）： 链接：https://pan.baidu.com/s/1M46HJvqL_4m3_yyQB0LJMg?pwd=54q7 提取码：54q7 --来自百度网盘超级会员V6的分享 勒索网页链接： 链接：https://pan.baidu.com/s/1pfJJPZB4q0hJJJaJbYNsNA?pwd=pxam 提取码：pxam --来自百度网盘超级会员V6的分享

勒索网页页面

进入tor链接后的勒索倒计时页面

未能识别勒索病毒

hipoxiaxxx

分流https://we.tl/t-maeLzVh4jP

Shake2333

看名字又是magniber   fs miss
分流：https://shake2333.lanzoul.com/icZwD059rnfa

aboringman

内容升级了（



杀毒

1. D:\360极速浏览器X下载\System.Upgrade.Win10.0-KB31022430.msi        Win64/Ransom.Generic.HnoASr4A        已删除

复制代码

huangzihang

MB miss 双击也不杀
刚刚传错图了，已编辑

卡巴意料之中启发杀
Event: Object deleted
User: DESKTOP-I30Q877\huangzihang
User type: Active user
Component: Virus Scan
Result: Deleted
Result description: Deleted
Type: Trojan
Name: HEUR:Trojan-Ransom.Win64.Magni.gen
Precision: Heuristic Analysis
Threat level: High
Object type: File
Object name: System.Upgrade.Win10.0-KB31022430.msi
Object path: D:\Downloads\Programs
MD5: AB709550A4D95A585B504589F9062206

lvzhiwei

腾讯电脑管家，瑞星安全云终端，智量扫描均miss

wwwab

Magniber勒索，暂时无法解密

msi样本分流：

anthonyqian

ESET

日志
System.Upgrade.Win10.0-KB31022430.msi > MSI > Binary.d7o1ll07h - Win32/Injector.ERRA 特洛伊木马 的变量 - 已删除
System.Upgrade.Win10.0-KB31022430.msi > MSI > [5]DigitalSignature - Win32/GenCBL.CBW 特洛伊木马 - 已删除
README.html - Win64/Filecoder.Magniber 特洛伊木马 - 已删除
boxuzheng[.xyz -> www.effectivecpmgate[.com/zquvnchm?key=4cae7f1debbe710111ed04cb48c77a72 - 具有不确定信誉或潜在不受欢迎内容的网站列表

一只Lunda

aboringman 发表于 2022-5-22 19:21
内容升级了（

360开网购模式和不开有区别吗

huangzihang

一只Lunda 发表于 2022-5-22 19:24
360开网购模式和不开有区别吗

开了的话非白即黑，类似MDE，误杀也严重，还会信誉杀，类似白名单