奶酪勒索

tjsh

祸兮福所倚 发表于 2024-1-25 21:28
上次扫描，这次双击

大哥别双击，你要把它当作MC核心文件启动才会发作

祸兮福所倚

tjsh 发表于 2024-1-25 21:31
大哥别双击，你要把它当作MC核心文件启动才会发作

你这一说复杂了，蒙圈了，再说我也不是大哥，是小妹妹

tjsh

祸兮福所倚 发表于 2024-1-25 21:41
你这一说复杂了，蒙圈了，再说我也不是大哥，是小妹妹

启动之后会出现各种牛逼东西

祸兮福所倚

tjsh 发表于 2024-1-25 22:09
启动之后会出现各种牛逼东西

通过沙箱分析，该样本研判结果为高危。
样本文件名为“63a887183f8889cc61254165f96301ddb374219dc1ab39143c46ddef9989d3ed”，md5为1c941ad697d96c7c8f810b9407df5168，是exe类型的文件。
该样本被威胁情报、行为风险、AI动态检测引擎检测出。

样本被检测为MalGeneric勒索病毒。
该样本存在多种行为风险，包括：
* 隐蔽执行
（ 禁止任务管理器、隐藏方式执行cmd、隐藏窗口 ）
* 系统破坏
（ 删除大量文档文件、删除特殊目录下的文件、清空回收站 ）
* 勒索行为
（ 创建大量带有双扩展名的文件 ）
* 异常文件操作
（ 恶意读取文档、恶意修改文档、读取大量文件（100+） ）
* 敏感操作
（ 创建大量进程（超过20个）、修改服务配置、删除文件（在命令行下）、创建敏感类型文件、打开服务、查找游戏软件用户数据 ）
* 持久驻留
（ 创建服务执行不常见路径下的文件、创建服务、向自启动目录写入文件、写入常见的自启动注册表 ）
* 隐藏自身
（ 在回收站中创建文件、在较敏感的系统目录下创建文件 ）
* 文件操作
（ 多次遍历文件、使用DeviceIoControl来控制设备、映射文件 ）
* 其他行为
（ 查询服务状态或配置、独占方式打开文件、使用com接口、安装消息钩子 ）
* 进程操作
（ 打开已有线程、获取前台窗口 ）
* 系统信息获取
（ 获取系统信息、收集磁盘信息、获取主机地理位置、多次获取系统时间、获取当前机器名、遍历进程、获取屏幕分辨率、收集操作系统指纹信息、打开或创建进程快照 ）
* 加密解密
（ 调用加密算法库 ）
* 反沙箱/反虚拟机
（ 多次获取当前鼠标位置 ）
* 反调试
（ 调试器检测-检查是否存在内核调试器、检测调试器 ）

样本需要关注一些关键行为：
* 注册表
regedit_set_value
value_type
4
value_index
0
key_path
\Registry\Machine\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Policies\System
value_data
1
value_name
DisableTaskMgr
regedit_set_value
value_type
1
value_index
0
key_path
\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
value_data
C:\temp\101\63a887183f8889cc61254165f96301ddb374219dc1ab39143c46ddef9989d3ed.exe
value_name
CloudMusic Update Service
* 服务
service_create
load_order_group
service_type
SERVICE_WIN32_OWN_PROCESS SERVICE_INTERACTIVE_PROCESS
binary_path
C:\Windows\Help\cloudmusicupdateservice.exe
service_name
CMUS
desired_access
0x96141f
tag_id
0
error_control
0x1
hService
1083396520
start_type
SERVICE_AUTO_START
display_name
CloudMusic Update Service
startname
dependencies
service_create
load_order_group
service_type
SERVICE_WIN32_OWN_PROCESS SERVICE_INTERACTIVE_PROCESS
service_name
CMUS
binary_path
C:\Windows\Help\cloudmusicupdateservice.exe
desired_access
0x96141f
tag_id
0
error_control
0x1
hService
1083396520
startname
start_type
SERVICE_AUTO_START
display_name
CloudMusic Update Service
dependencies
* 释放文件
C:\Users\Admin\Desktop\README.txt
C:\Users\Admin\Desktop\desktop.ini.HackedBy.HeyPigeonFB#1899.this.FileID.476
E:\amd.pptx.HackedByHeyPigeonFB#1899
C:\Users\Admin\Desktop\amd.pptx.HackedBy.HeyPigeonFB#1899.this.FileID.27836
E:\i7-4477.pptx.HackedByHeyPigeonFB#1899
E:\i5-3344.pptx.HackedByHeyPigeonFB#1899
C:\Users\Admin\Desktop\test2.zip.HackedBy.HeyPigeonFB#1899.this.FileID.13117.HackedBy.HeyPigeonFB#1899.this.FileID.20088
C:\Users\Admin\Desktop\README3.txt
C:\Users\Admin\Desktop\README2.txt
C:\Users\Admin\Desktop\README1.txt
...

处置建议：
根据上述内容确认行为事件安全性，根据实际情况和要求进行防御监测、清理等操作。

skylzf

有些中二的病毒

tjsh

skylzf 发表于 2024-1-26 00:00
有些中二的病毒

{过}挂{滤}圈的一堆开裂伪装病毒
Hacked By Dimples#1337你敢点你电脑就没了，但是不会LockMBR可以修复（改组策略）

skylzf

tjsh 发表于 2024-1-26 10:04
{过}挂{滤}圈的一堆开裂伪装病毒
Hacked By Dimples#1337你敢点你电脑就没了，但是不会LockMBR可以修复 ...

就是个搞破坏的恶意软件+释放一堆无毒的垃圾文件。

tjsh

skylzf 发表于 2024-1-28 01:50
就是个搞破坏的恶意软件+释放一堆无毒的垃圾文件。

是的，这个东西是Cheese Client的衍生物

班德就是我

红伞杀

不甘寂寞

卡巴斯基免费版kill