Zaloguj się

24.06.2016, 20:11

Dzięki i ja tak życzę przyjemnych wakacji!

Crystal Security

90/90

pebe · 24.06.2016, 20:18

KFA

85/90

Miłych wakacji

Bolo8888 · 24.06.2016, 21:24

360 TS - 88/90

**tachion** · (Ten post był ostatnio modyfikowany: 26.06.2016, 13:18 przez tachion.)

Ransom TowerWeb # Shitware

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Żeby powiększyć trza zapisać lub otworzyć w nowej karcie.

[Aby zobaczyć linki, zarejestruj się tutaj]

Charakterystyka:

malware korzysta z NET Framework (może być wykrywany przez programy av jako MSIL)

[assembly: AssemblyVersion("1.0.0.0")]
[assembly: Debuggable]
[assembly: AssemblyCompany("Hewlett-Packard")]
[assembly: AssemblyConfiguration("")]
[assembly: AssemblyCopyright("Copyright © Hewlett-Packard 2016")]
[assembly: AssemblyDescription("")]
[assembly: AssemblyFileVersion("1.0.0.0")]
[assembly: AssemblyProduct("anonpop")]
[assembly: AssemblyTitle("anonpop")]
[assembly: AssemblyTrademark("")]
[assembly: CompilationRelaxations(8)]
[assembly: RuntimeCompatibility(WrapNonExceptionThrows = true)]
[assembly: ComVisible(false)]
[assembly: Guid("b96b4695-16f1-43d1-93a9-6a66de164988")]
[module: ConfusedBy("ConfuserEx v0.6.0")]

Posiada pięć sekcji - jedna jest nietypowa o współczynniku anomalii 7.889

[Aby zobaczyć linki, zarejestruj się tutaj]

Doaje się do autostartu:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run jako My app

uzyskuje dostęp do sieci przez usługę DNSResolver

anonpop C:\Users\RafaB \Desktop\1.exe
nawiązuje połączenie wychodzące (TCP)
Adres=www.kipibank.com(205.144.171.139) Port=80
151.249.92.71

zostaje zmodyfikowany klucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\shutdown\

zostaje dodany komunikat: Pay Your Ransom to Get Your Files and Computer Back. Shutting Down In 60 Seconds. Email: [email protected] for assistance."

uruchomia aplikację:
C:\Windows\System32\shutdown.exe (w celu zamykania systemu)

zostaje dodana subdomena do klucza: HKEY_USERS\S-1-5-21-3536143562-3202178637-1203078308-1000\Software\Microsoft\Internet Explorer\DOMStorage\kipibank.com\

Running Processes\1.exe\Opened Handles\ :
Pomocniczy Sterownik funkcyjny Winsock \Device\Afd
Sterownika urządzenia \Device\KsecDD

NSI proxy service driver \Device\Nsi (Modyfikuje ustawienia proxy) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

Odczytuje informacje o obsługiwanych językach HKLM\SYSTEM\ControlSet001\Control\Nls

opuszcza pliki: c:\Users\RafaB\AppData\Local\Dane aplikacji\Microsoft\Internet Explorer\DOMStore\SVC8WQZK\ mod

[Aby zobaczyć linki, zarejestruj się tutaj]

[1].xml

mod:
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\DCRQ6PG1\ mod anon[1].jpg
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\I7C6CUUH\ mod i2[1].htm
c:\Users\RafaB\Ustawienia lokalne\Microsoft\Windows\Temporary Internet Files\Content.IE5\WASQ63ZS\ mod counter[1].js

Czyta pliki konfiguracyjny desktop.ini

Dodaje mutexy

Modyfikuje c:\Documents and Settings\Rafał\AppData\Roaming\Microsoft\Windows\Cookies\
dodaje: O80TEEDR.txt

zawartośc:
is_unique
sc11010822.1466928870.0
statcounter.com/
2147484672
523400960
30894490
3270371934
30527362
*
is_visitor_unique
1466928870299569584
statcounter.com/
2147484672
3034461952
30674213
3270527934
30527362
*
dodaje: E552R6H7.txt

zawartośc:
sc_is_visitor_unique
rx11010822.1466928869.A47AFF56D6E04F92685B92AEF398B5E7.1.1.1.1.1.1.1.1.1

[Aby zobaczyć linki, zarejestruj się tutaj]

1600
3024461952
30674213
3267095928
30527362
*

Komputer próbuje się wyłączyć po 60 sekundach

Podczas ponownego uruchomienia komputera, maszyna będzie zamykana co 60 sekund chyba że zapłacimy teoretyczny okup Smile

26.06.2016, 14:22

Crystal Security

1/1

**zord** · 26.06.2016, 16:26

(24.06.2016, 19:32)Ark223 napisał(a):
[Aby zobaczyć linki, zarejestruj się tutaj]
[Malware Pack] Jun 2016 #90:
Czerwiec/Jun 2016:

Treść widoczna jedynie dla zarejestrowanych użytkowników
Zycze przyjemnych wakacji!

McAfee Endpoint Security 88/90 97,77%

Waves · 27.06.2016, 17:56

Ciekawy zeroday w docu o którym pisze niebezpiecznik:

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

VT:

[Aby zobaczyć linki, zarejestruj się tutaj]

M'cin · 27.06.2016, 20:18

Heh, sam miałem pisać, bo mamusia otworzyła. Na szczęście VBA są wyłączone i nie zezwoliła, tylko zadzwoniła do rodziny. A próba otworzenia VBA editora w Comodo Virtual Desktop pokazała losowe ciągi znaków, jak na screenie z niebezpiecznika ;>

myciu1974 · 28.06.2016, 06:30

[Malware Pack] Jun 2016 #90

Eset 84/90 ( 93.33% )

MBAM 73/90 ( 81,11% )

Hitman 86/90 ( 95.55 % )

facecik · 28.06.2016, 07:54

(24.06.2016, 19:32)Ark223 napisał(a):
[Aby zobaczyć linki, zarejestruj się tutaj]
[Malware Pack] Jun 2016 #90:
Czerwiec/Jun 2016:

Treść widoczna jedynie dla zarejestrowanych użytkowników
Zycze przyjemnych wakacji!

ZAM 87/90

**tachion** · 04.07.2016, 19:33

Nowszy wariant Ransomware Locky

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Bolo8888 · 05.07.2016, 17:06

360 TS - 2/2 - Przy wypakowaniu.

pebe · 05.07.2016, 17:37

KFA

2/2-przy wypakowaniu

zbyszek · 05.07.2016, 18:33

AVG Free wykrywa 2/2

**tachion** · 05.07.2016, 18:35

Ransomware Cerber

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

**tachion** · 05.07.2016, 18:55

Defender z Win10 przy uruchomieniu wykrywa.

pebe · 05.07.2016, 21:02

Kfa wykrywa przy wypakowaniu

Bolo8888 · 06.07.2016, 20:55

360 TS - 1/1 - Przy wypakowaniu.

09.07.2016, 10:58

Avast 1/1 - Przy wypakowaniu.

**tachion** · 09.07.2016, 13:06

Ransom Mobef

[Aby zobaczyć linki, zarejestruj się tutaj]

Treść widoczna jedynie dla zarejestrowanych użytkowników

Zaloguj się
Login:
Hasło:	Nie pamiętam hasła
	Zapamiętaj mnie