应该是自制勒索 过KART x2

anthonyqian

bbs2811125 发表于 2022-6-18 10:57
ESET扫描miss这个样本有点水平

我想看看ELG的分析结果
自制勒索过ESET还是比较正常的

hushuai

huangzihang 发表于 2022-6-17 21:59
我这里ATD疯狂装死，不过桌面文件倒是还没被加密

你再等等，它加密的慢

huangzihang

Trojan:Win32/Sabsik.TE.A!ml

这个程序很危险，而且执行来自攻击者的命令。（1.bin）
MD对2.bin装死，双击miss

huangzihang

00006666

huangzihang 发表于 2022-6-18 11:01
Trojan:Win32/Sabsik.TE.A!ml

这个程序很危险，而且执行来自攻击者的命令。（1.bin）

试试组策略加ASR:  

c1db55ab-c21a-4637-bb3f-a12568109d35

值:1

anthonyqian

huangzihang 发表于 2022-6-18 11:10

这是高敏感非黑即白模式吧

LeeHS

crowdstrike 2解壓殺，1雙擊殺

huangzihang

anthonyqian 发表于 2022-6-18 11:17
这是高敏感非黑即白模式吧

高敏感不让运行
默认模式+勒索保护添加它加密的目录则kill
默认模式+没有勒索保护则miss

00006666

不修改扩展名，直接用CMD运行，也是触发勒索防护，回滚被加密文件

Tom179090

hushuai 发表于 2022-6-18 10:40
BDTS双击后看着它运行，跳过了一堆没有权限的文件之后加密了桌面上的文件，还没等到加密图片的时候ATD跳出 ...

关ATD能触发吗？我之前反应过这个问题，他们的回答是

The results from our colleagues have arrived and after analyzing the situation we came to the conclusion that there is ATD detection (this feature cannot restore files) and this is the reason why there was no Ransomware Remediation detection.

因为ATD检测了所以勒索补救不检测……