Magniber

显示全部楼层 · 发表于 2022-7-2 12:41:00

本帖最后由 00006666 于 2022-7-2 12:45 编辑

ICzcz 发表于 2022-7-2 12:38
杀到病毒才是真本事

PS：如果把一个白文件的名字改成这个也会杀吗？

没试过不晓得，不过我知道它这个只有从网络下载来的才会这样报，你在自己电脑已有程序改名是看不出来的，想要试验的话得上传网盘再下载，而且不能加密压缩，不然就不会报了

，如果是已有的云白名单里面的程序，应该也触发不了这个报法，得找一个云端未知程序。

显示全部楼层 · 发表于 2022-7-2 13:14:59

hyx2230 发表于 2022-7-2 10:58
火绒

又是这个名字

显示全部楼层 · 发表于 2022-7-2 14:07:07

md kill

显示全部楼层 · 发表于 2022-7-2 14:21:53

anthonyqian 发表于 2022-7-2 11:48
Kaspersky

很早就放弃了，ole2报的是外面的msi，内部的那个应该报Crypmod，这之前我让卡巴对Magniber得到的回复如下：
Trojan-Ransom.Win32.Crypmod.* - it's generic verdict for samples with ransomware behavior. We already have the common record for this ransom family - Trojan-Ransom.Win32.Magni. But because of the specificity of detection the generic verdict is triggered first.

显示全部楼层 · 发表于 2022-7-2 14:28:47

秋日之殇发表于 2022-7-2 14:21
很早就放弃了，ole2报的是外面的msi，内部的那个应该报Crypmod，这之前我让卡巴对Magniber得到的回复如下 ...

问题是现在的Crypmod不是HEUR的报法，之前的Magni是HEUR的报法，这就导致了新变种没法查杀了

显示全部楼层 · 发表于 2022-7-2 15:51:46

Dear ICzcz,

Thank you for your submission.
This URL will be blocked by the next update of detection engine.

Regards,

ESET Malware Response Team

显示全部楼层 · 发表于 2022-7-2 17:20:18

ICzcz 发表于 2022-7-2 15:51

现在扫描报：
Win64/Filecoder.Magniber.B

显示全部楼层 · 发表于 2022-7-2 17:31:29

显示全部楼层 · 发表于 2022-7-2 17:33:59

zwl2828 发表于 2022-7-2 17:20
现在扫描报：
Win64/Filecoder.Magniber.B

我已经上报过啦~

https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1267909

显示全部楼层 · 发表于 2022-7-2 18:06:40

本帖最后由企稳向好于 2022-7-2 18:19 编辑

趋势双击miss，文件被加密，由于注入了系统进程，勒索护盾被绕过

虽然趋势没杀勒索，但却把勒索信入库了，不但杀了个爽，还给了非常精确的报法：Ransom.HTML.MAGNIBER.SMYNCED.note

只要我们的用户看不到勒索信，我们的用户就不会被勒索到钱财（毕竟想付钱也找不到地方），四舍五入就等于我们趋势防住了勒索

我们趋势真是太厉害啦

[病毒样本] Magniber

ESET上报 block URL

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分