可疑樣本X1

开开心心卖手机

rogersg 发表于 2022-6-26 00:40
呃，我这边测下来依旧是被过的。。。而且本体到现在都没被拉黑

回滚再测一次，勒索保护严格模式 ...

AVG一样miss，我修改下原帖表述

anthonyqian

开开心心卖手机 发表于 2022-6-26 08:59
虚拟机复测，结果依旧，我打算按那个兄弟反馈的，用AVG试试

这个样本我让MT论坛上的一个朋友测试了一下，他确认Avast拦截失败，文件被加密。

anthonyqian

huangzihang 发表于 2022-6-26 00:19
我建议你别通过自动机上报，这样我去push客服的时候他们只会回复has been detection然后不添加通杀，搞得 ...

BD目前给了一个新的报法，不知道能否通杀。。（至少不是GenericKD了

MS.Upgrade.Database.Cloud.ms=>(Embedded EXE)  -  Trojan.Ransom.PHT

Jirehlov1234

anthonyqian 发表于 2022-6-26 01:08
BD目前给了一个新的报法，不知道能否通杀。。（至少不是GenericKD了

MS.Upgrade.Database.Cloud ...

Trojan.Ransom.XXXX这类是通杀，不过特征强度不如Gen:开头的，感觉撑不了多久。。。

开开心心卖手机

anthonyqian 发表于 2022-6-26 09:07
这个样本我让MT论坛上的一个朋友测试了一下，他确认Avast拦截失败，文件被加密。

我知道了，是我把勒索防护设置成严格模式的问题（虽然第一次测触发时点了允许，但估计也会对注入行为有影响吧），改成智能模式后双击，大小A都miss了，加密行为跑完了才触发反漏洞防护

lingdu233

intego 双击APC衍生物

anthonyqian

Jirehlov1234 发表于 2022-6-26 09:12
Trojan.Ransom.XXXX这类是通杀，不过特征强度不如Gen:开头的，感觉撑不了多久。。。

Gen 好像也没撑多久

00006666

huangzihang 发表于 2022-6-26 00:40
下一次直接注入avp.exe

根据以往的样本，它实际是会尝试注入所有正在运行的进程，一个注入失败了就换下一个注入，360那个是拦截了注入后会自动结束MSI进程，所以能防住，如果没结束进程，它肯定有没覆盖防护的会被注入，然后加密文件

Jirehlov1234

anthonyqian 发表于 2022-6-26 01:30
Gen 好像也没撑多久

我不是指Gen:Variant.Razy.XXXXX这类瞎猫碰见死耗子
BD对勒索的通杀至少有以下几种，
Generic.Ransom.XXXX.X.XXXXX
Generic.Ransom.XXXX.XXX
Gen:Variant.Ransom.XXXXX.X
Gen:Heur.Ransom.XXXX.Gen.X
Trojan.XXXXX.Gen.X
Trojan.Ransom.XXXX
最后两种是最菜的

Jirehlov1234

huangzihang 发表于 2022-6-25 16:40
下一次直接注入avp.exe

注入avp你得先0day穿掉卡巴的自保，magniber还不至于这么丧心病狂