本帖最后由 aboringman 于 2023-1-21 00:37 编辑
- 时间 操作 说明 次数
- 2023-01-21 00:05:00 [自动阻止] 修改 文档或图片文件 防护 1 次
- 详细描述:
- 进程:C:\Users\123\Desktop\测试专用\pyransomzh.exe
- 动作:重命名
- 路径:C:\Users\123\Desktop\123 - 副本 (5).doc
- 风险文件:C:\Users\123\Desktop\测试专用\pyransomzh.exe
- 防护信息: FD|47, 1183|30, 30, -1|34233B5E7A9B0DFADDD5F2BFB35ACD62|d3a3bee3bb343236380563de2166ba2d145bc51e|
- 2023-01-21 00:05:00 [自动处理] 结束进程 防护 2 次
- 详细描述:
- 进程:C:\Users\123\Desktop\测试专用\pyransomzh.exe 295EB08C|3|JcSQRMKTJJLcQ[R_P_KKRK|1674230701
- 2023-01-21 00:05:00 [已阻止] 修改 文档或图片文件 防护 1 次
- 详细描述:
- 进程:C:\Users\123\Desktop\测试专用\pyransomzh.exe
- 动作:重命名
- 路径:C:\Users\123\Desktop\123 - 副本 (5).doc
- 风险文件:C:\Users\123\Desktop\测试专用\pyransomzh.exe
- 防护信息: FD|47, 1183|30, 30, -1|34233B5E7A9B0DFADDD5F2BFB35ACD62|d3a3bee3bb343236380563de2166ba2d145bc51e|
- 2023-01-20 23:57:47 [已阻止] 修改 系统配置策略 防护 1 次
- 详细描述:
- 注册表位置:HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM\[DisableTaskMgr]
- 注册表内容:2
- 进程:C:\Windows\SysWOW64\regedit.exe
- 父进程:C:\Windows\SysWOW64\cmd.exe , (103)
- 风险文件:C:\Users\123\Desktop\测试专用\pyransomzh.exe
- 防护信息: FD|26, 456|30, 10, -1|34233B5E7A9B0DFADDD5F2BFB35ACD62|d3a3bee3bb343236380563de2166ba2d145bc51e|
- 2023-01-20 23:57:41 [自动阻止] 模拟按键 防护 1 次
- 详细描述:
- 进程:C:\Users\123\Desktop\测试专用\pyransomzh.exe "C:\Users\123\Desktop\测试专用\pyransomzh.exe" , (1, 24)
- 动作:模拟按键
- 路径:
- 2023-01-20 23:57:39 [已阻止] 修改 系统启动目录 防护 1 次
- 详细描述:
- 进程:C:\Users\123\Desktop\测试专用\pyransomzh.exe
- 动作:试图修改
- 路径:C:\Users\123\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PyRansom.bat
- 风险文件:C:\Users\123\Desktop\测试专用\pyransomzh.exe
- 防护信息: FD|26, 823|30, 30, -1|34233B5E7A9B0DFADDD5F2BFB35ACD62|d3a3bee3bb343236380563de2166ba2d145bc51e|
随便挑一个文件,恢复后缀后正常打开,内容正常(
卡巴拉黑了
- UDS:Trojan-Dropper.Win32.Scrop
|
发表于 2023-1-20 23:46:44
...
