Ransom.HMV (2023-01-26)

aboringman

Avast：0

双击，仅触发了文件防护杀一衍生物（但无文件被加密，应该是击杀了勒索主体），之后立马被重启，壁纸被篡改，系统设置部分被篡改，任务管理器无法使用。

1. <ChestId>00000005</ChestId>
   
2.                 <FileTime>1674729162</FileTime>
   
3.                 <OrigFileName>GDI.exe</OrigFileName>
   
4.                 <OrigFolder>C:\Users\123\AppData\Roaming\HMV\Programs</OrigFolder>
   
5.                 <Comment></Comment>
   
6.                 <Virus>Win32:APPE-PR</Virus>
   
7.                 <Category>Vir</Category>
   
8.                 <Restore>yes</Restore>
   
9.                 <TransferTime>1674757964</TransferTime>
   
10.                 <FileSize>11776</FileSize>
    
11.                 <Viruses></Viruses>

复制代码

GDHJDSYDH

MD：Trojan:Script/Wacatac.H!ml

chjs

BD没扫出，eset online scanner 扫出BAT/Agent.PTY 特洛伊木马，大蜘蛛和KVRT都没有检出。SEP检测出恶意脚本，无法执行。SEP添加自动防护例外之后执行，立即重启（SEP没来得及分析完），改了壁纸，C的文件用attrib +S +H *.* /D 命令隐藏了（用attrib -s -h *.* /d把C盘文件恢复了），左右键调换了，文件没有被加密。重启后SEP扫到释放的病毒GDI.exe。看了下脚本，修改了一堆注册表，懒的弄了，直接恢复。

GreatMOLA

Norton
扫描：Scr.Malscript!gen1
执行
关闭自动防护，仅开启 Data Protector。：
系统被立即重启。重启后鼠标左右键功能被调换，桌面壁纸被修改，UAC 被关闭，系统控制面板、任务管理器被禁用，资源管理器C盘为空，弹出勒索信。未见文件被加密。

梦魇摄政红

火绒 miss
腾讯电脑管家miss 未双击

python无名氏

我一直以为certutil解密base64需要删掉第一行和最后一行呢

dght432

管家：寄！无任何提示
火绒：双击重启后无文件加密

tony099

实体机卡巴斯基双击Kill

网名丢失

火绒右键扫描可以查杀了。