全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworks网络延迟测速工具IP归属甄别会员请立即修改密码
楼主: TvT
打印 上一主题 下一主题

[lighttpd] 中勒索病毒了,安全冲浪这么多年,今日翻了车

[复制链接]
1#
发表于 2021-3-22 13:18:28 | 显示全部楼层
phobos变种crysis
主要来源是RDP和SSH爆破
请立即全盘扫描,这个家族目前发现都会继续使用中勒索的机器作为爆破肉鸡
见过好几次payload了
2#
发表于 2021-3-22 13:34:22 | 显示全部楼层
羊村你喜哥 发表于 2021-3-22 13:22
1. phobos家族,2杀毒软件没啥用,都是rdp进来的,phobos最新版能过全系列杀毒,非最新版人家rdp都进来了, ...


1.phobos目前能拿到的样本 过不了任何一个主流杀毒(此处主流不包括360/腾讯管家/火绒) 更不要说专门的勒索诱捕了
2.大多数杀毒软件都能设置密码 没密码无法卸载 所以rdp进来了也不是分分钟删掉
3#
发表于 2021-3-22 13:50:31 | 显示全部楼层

附送一个10日某phobos变种(CAVALLOZIPULYA)的VT结果
Avast: Win32:Trojan-gen
Avira: TR/Crypt.XPACK.Gen
BitDefender: Gen:Variant.Ransom.Phobos.62
ESET-NOD32: A Variant Of Win32/Filecoder.Phobos.C
Kaspersky: HEUR:Trojan.Win32.Generic
McAfee: Ransom-Phobos!0F991CEB7F0B
Panda: Trj/Genetic.gen
TrendMicro: Ransom.Win32.CRYSIS.SMA
360: HEUR/QVM20.1.CF82.Malware.Gen
金山:未检出(截止3.11)
腾讯:未检出(截止3.11)
4#
发表于 2021-3-22 15:51:44 | 显示全部楼层
TvT 发表于 2021-3-22 14:38
卡巴隔离区文件怎么提取呀,只有恢复选项,想把样本提取出来看看

一般勒索执行完也不会给你留本体了
留下本体就等于能解密了
最后这玩意儿留下了一个payload用来远控 隔离的大概率是payload
您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|全球主机交流论坛

GMT+8, 2024-5-18 22:14 , Processed in 0.069350 second(s), 9 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表