勒索1x

xiaozhu009

https://wwbxq.lanzouq.com/ij3fG3hky4fe


https://www.virustotal.com/gui/f ... 9bce1dea4?nocache=1

ulyanov2233

elg miss

2026/2/2 14:55:38;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;firefly\Y8219
2026/2/2 14:57:16;ESET 内核;文件“电脑工具箱 V3.0.exe”已发送到 ESET Virus Lab 以供分析。;SYSTEM
2026/2/2 14:59:37;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;SYSTEM

莒县小哥

卡巴双击

AMD_Ryzen

BEST 扫描miss，双击提示“暂不支持虚拟机”，同时触发沙箱分析，miss，因为检测出了沙箱的虚拟化特征，也没跑起来

ANY.LNK

微软解压后等待，而后机器学习报告Trojan:Win32/Wacatac.H!ml，有趣的是控制台上显示的变种名是F

hansyu

McAfee
ti!A995BA239662

WGC_ZY

卡巴
Event: Object deleted
User type: Active user
Application name: WinRAR.exe
Application path: C:\Program Files\WinRAR
Component: File Anti-Virus
Result description: Deleted
Type: Trojan
Name: UDS:Trojan.Win32.Agentb
Precision: Exactly
Threat level: High
Object type: File
Object name: 电脑工具箱 V3.0.exe
Object path: C:\Users\Zhang\Downloads
MD5 of an object: C8AC8B73230CC12D94BE51BC14B51418


EIS：
Real-time file system protection;file;C:\Users\Zhang\Desktop\电脑工具箱 V3.0.exe;a variant of Win64/GenKryptik.HPDL trojan;cleaned by deleting

ulyanov2233

该样本“电脑工具箱 V3.0.exe”（MD5: c8ac8b73230cc12d94be51bc14b51418）为一高危恶意程序，具备典型的勒索病毒与信息窃取双重特征，风险级别为“危险”。样本以伪装成工具箱软件的形式诱导用户执行，运行后通过父进程SyStem.exe创建主进程，随即释放多个恶意行为组件，并在短时间内完成一系列恶意操作。

样本的核心行为表现为对系统文件的加密与破坏。其通过调用NtSetInformationFile等高危API，对位于c:\fake_docs目录下的多个诱饵文件（如classified.doc、mypassword.docx、mybirthday.jpg等）进行加密，文件名后缀均被篡改为“.CNMSBNMSL”，符合勒索病毒典型的加密命名规则，表明其具备勒索能力。同时，样本还对系统中多个关键文件（如ruby.exe、HTML文档等）执行复制并重命名操作，疑似为隐藏恶意载荷或为后续持久化做准备。

此外，样本表现出强烈的窃密意图。其通过NtReadFile、NtCreateFile等API主动读取FTP凭据文件C:\FTP Navigator\Ftplist.txt，窃取用户敏感信息。同时，对用户隐私文件（如照片）、密码文件及机密文档进行读取、修改和破坏，涉及NtWriteFile和NtSetInformationFile等操作，表明其具备数据窃取与破坏能力。

样本还表现出隐蔽性行为，如修改临时文件windows_cache.bin的属性为隐藏或只读，以规避检测。其通过遍历C:\Ruby25\share\doc\ruby\html目录下的多个子路径（如RSS、REXML、js等），疑似在扫描可感染目标，为大规模传播或加密做准备。

综上，该样本为一复合型恶意程序，兼具勒索、窃密、破坏与隐蔽传播能力，行为高度恶意，应立即隔离并清除，建议对系统进行全面安全审计，重点检查FTP配置、用户文档及Ruby环境文件。

essp 现在扫描kill了

C:\Users\Y8219\Downloads\20260202Ransom1x\电脑工具箱 V3.0.exe - Win64/GenKryptik.HPDL 特洛伊木马 的变量 - 已通过删除清除 [1]

tony099

莒县小哥 发表于 2026-2-2 15:06
卡巴双击

卡巴云已经拉拉黑了

事件: 检测到恶意对象
用户: WIN-9IT6S98AQML\35987
用户类型: 活动用户
应用程序名称: Bandizip.exe
应用程序路径: C:\Program Files\Bandizip
组件: 文件反病毒
结果描述: 检测到
类型: 木马
名称: UDS:Trojan.Win32.Agentb
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 电脑工具箱 V3.0.exe
对象路径: C:\Users\35987\Downloads\20260202Ransom1x
对象的 MD5: C8AC8B73230CC12D94BE51BC14B51418
原因: 云保护

一成不变

这种人这么光明正大传播病毒还要钱？还用的是QQ