楼主: python无名氏
收起左侧

[病毒样本] kf8勒索(已确定无bug)

  [复制链接]
anthonyqian
发表于 2023-3-19 22:19:53 | 显示全部楼层
诺顿

扫描missed,信誉杀未触发。

双击

3分钟后首先Data Protector拦截加密操作,然后行为检测到:

文件名: kf8.exe
威胁名称: SONAR.SuspLaunch!g193

但是勒索进程还没终止,过了一两分钟行为检测到:

文件名: kf8.exe
威胁名称: SONAR.SuspWrite!g4


回滚样本和(删除)被加密的文件,主要集中在C盘Program Data文件夹。
hansyu
发表于 2023-3-19 22:21:10 | 显示全部楼层
Shake2333 发表于 2023-3-19 22:18
我刚刚又试了一下,还是不杀,已经邮件提交给avert lab了

你看刚才那个kf7帖子有用TES的2个小时后回的贴已经杀了。
sichuanwenxuan
发表于 2023-3-19 22:30:52 | 显示全部楼层
虚拟机里不能运行?运行后没反应。
sichuanwenxuan
发表于 2023-3-19 22:53:57 | 显示全部楼层
WD扫描不报,双击杀。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
GreatMOLA
发表于 2023-3-19 22:59:32 | 显示全部楼层
anthonyqian 发表于 2023-3-19 22:19
诺顿

扫描missed,信誉杀未触发。

Heur.AdvML.A
秋日之殇
发表于 2023-3-19 23:02:18 | 显示全部楼层
本帖最后由 秋日之殇 于 2023-3-19 23:07 编辑

pdm,没有发现文件被加密。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
GreatMOLA
发表于 2023-3-19 23:05:13 | 显示全部楼层
anthonyqian 发表于 2023-3-19 22:19
诺顿

扫描missed,信誉杀未触发。

加密了多少文件?
anthonyqian
发表于 2023-3-19 23:17:06 | 显示全部楼层
GreatMOLA 发表于 2023-3-19 23:05
加密了多少文件?

为啥我启发级别已经是主动了还是没有A杀。。

加密了不少文件吧,没统计过,但受DP保护的都没加密
喀反
发表于 2023-3-19 23:21:34 | 显示全部楼层
WD解压杀:Ransom:Win32/Higuniel.A
GreatMOLA
发表于 2023-3-19 23:27:44 | 显示全部楼层
本帖最后由 GreatMOLA 于 2023-3-19 23:32 编辑
anthonyqian 发表于 2023-3-19 23:17
为啥我启发级别已经是主动了还是没有A杀。。

加密了不少文件吧,没统计过,但受DP保护的都没加密

报毒这个是不是和版本有关(乱猜的),我也有这种情况。https://bbs.kafan.cn/thread-2253593-1-1.html 这个样本,我实体机miss了,但是虚拟机里A杀。
虚拟机里我锁了老版本。


SONAR的回滚就只是单纯的删除被样本创建或更改的文件,要是拦截稍晚一些其实损失也不小。


编辑:现在应该可以查杀了,我实体机的新版本报Trojan Horse.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 17:04 , Processed in 0.094987 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表