Paczki, malware, złośliwe pliki, linki itp.

[UnitedHardcore91]

Baidu bez Aviry

168/170

[tommyklab]

Czyli warto w takiej sytuacji zabić proces, a nie próbować go blokować, i w takim wypadku SS sobie radzi , a pamiętajmy, że to nie jest typowy anti exe , czy typowy HIPS, więc chyba jednak program nie poległ

Przecież pisałem wyżej że SS nie radzi sobie z z tym CTB jak daje terminate na stałe, czyli zabicie procesu.


A Zemanę AL jak sprawdzałem jeszcze wcześniej, tylko na innej świeższej próbce to nawet komunikatu żadnego nie wyświetliła, ransom się uaktywnił, chyba na tej z sąsiedniego forum jak CryptoPrevent nie dał rady temu CTB, która mnie to zainspirowała do sprawdzenia Zemany i podania tematu dalej:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Buli]

A miałeś zaznaczone w Ustawieniach --> Zaawansowane --> Zakończ procesy potomne i Zakończ wszystkie zdarzenia?

[wojek]

A Zemanę AL jak sprawdzałem jeszcze wcześniej, tylko na innej świeższej próbce to nawet komunikatu żadnego nie wyświetliła, ransom się uaktywnił, chyba na tej z sąsiedniego forum jak CryptoPrevent nie dał rady temu CTB, która mnie to zainspirowała do sprawdzenia Zemany i podania tematu dalej:

Ciekawe jakby sobie poradził HMPA v3.

[tommyklab]

A miałeś zaznaczone w Ustawieniach --> Zaawansowane --> Zakończ procesy potomne i Zakończ wszystkie zdarzenia?

TAK

CTB-Locker

[Aby zobaczyć linki, zarejestruj się tutaj]

Z każdą próbką coraz więcej języków do wyboru.
[

[Aby zobaczyć linki, zarejestruj się tutaj]

]

Ciekawe jakby sobie poradził HMPA v3.

CTB Locker vs HitmanPro Alert v3 RC build 143 -

[Aby zobaczyć linki, zarejestruj się tutaj]

HitmanPro Alert v3 RC - blokuje tego CTB-Ransom

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

dałem zamknij i zrobiłem restart

[Aby zobaczyć linki, zarejestruj się tutaj]

i jeszcze jeden restart:

[Aby zobaczyć linki, zarejestruj się tutaj]

Malware jest cały czas izolowane w pamięci. Używamy np. Hitmana i pozbywamy się szkodnika.

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeśli by HitmanPro nie był zainstalowany w systemie HitmanPro Alert sam go ściąga i skanuje system.


HitmanPro Alert v2.6.5.77 przepuszcza

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[anomito]

17 Samples

Treść widoczna jedynie dla zarejestrowanych użytkowników

[Tibu 11]

17 Samples

Treść widoczna jedynie dla zarejestrowanych użytkowników

Avg Internet Security 201514/17

Loaris Trojan Remover 7/17

Baidu bez Aviry

168/170

Silnik Aviry jest włączony (bez możliwości wyłączenia go) przy skanach.

[ichito]

Możecie spróbować z włączoną opcją "Ustawienia/Ochrona/Blokuj automatycznie podejrzane aplikacje"? Poza tym pulpit można dołożyć do folderów z restrykcjami...można wyłączyć automatyczne zezwolenia dla podpisów cyfrowych w "liście monitorowanych akcji"...można dać na tryb "pytaj użytkownika"...
To tyle nas szybko i bez analiz głębszych...może zmiana tych ustawień pomaga?

[tommyklab]

W SpyShelter "Ustawienia/Ochrona/Blokuj automatycznie podejrzane aplikacje" dawałem, różne kombinacje, wczoraj pół dnia na to poświęciłem
Podpisy cyfrowe odpadają, bo ten CTB-Locker i tak nie jest podpisany.
Dodanie pulpitu... to juz wyższa szkoła jazdy

A co maja powiedzieć co pierwszy raz program używają i jadą na default? Wersja Free jeszcze szybciej łyka tego ransoma niż wersja FW.

[UnitedHardcore91]

17 Samples

Treść widoczna jedynie dla zarejestrowanych użytkowników

Baidu bez Aviry 16/17

Baidu bez Aviry

168/170

Silnik Aviry jest włączony (bez możliwości wyłączenia go) przy skanach.

Nie skanuje Baidu plików tylko pokazuje jak wyglądają wyniki przy rozpakowaniu archiwum a tam jest wyłączony.

[pebe]

17 Samples

Treść widoczna jedynie dla zarejestrowanych użytkowników

360 TS
17/17

[F4z]

Czyli warto w takiej sytuacji zabić proces, a nie próbować go blokować, i w takim wypadku SS sobie radzi , a pamiętajmy, że to nie jest typowy anti exe , czy typowy HIPS, więc chyba jednak program nie poległ

Przecież pisałem wyżej że SS nie radzi sobie z z tym CTB jak daje terminate na stałe, czyli zabicie procesu.

Gdy ja klikam "zakończ" w którymkolwiek komunikacie z czterech, które mi się pokazują (oczywiście w poprzednich klikając "blokuj", np. w czwartym klikam "zakończ", a w pierwszym, drugim oraz trzecim "blokuj"), to nie dochodzi do zaszyfrowania.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Tak swoją drogą, Ty też masz cztery komunikaty SpySheltera czy mniej?

[Bergo]

[Aby zobaczyć linki, zarejestruj się tutaj]

ESET SS
100%

[Bergo]

17 Samples

ESET SS
100%[/quote]

[tommyklab]

F4z, chyba zrobię filmik, albo 2, jeden na def, drugi "podkręcone ustawienia" bo za dużo pytań jest.

[tachion]

Program chyba ma jakieś dziwne zachwiania.

Z takimi ustawieniami też wchodzi.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

jedyny komunikat jaki jest

[Aby zobaczyć linki, zarejestruj się tutaj]

Po wylogowaniu wszedł.

[tommyklab]

W sumie mnie wyręczyłeś, bo wczoraj jak robiłem testa to mogłem i każde zmiany programu dokumentować, a pisałem tylko że dałem maksymalne ustawienia

[Tibu 11]

infected

Advanced SystemCare Ulimate 8 (silnik Bitka)
17/17

[Aby zobaczyć linki, zarejestruj się tutaj]

Avg Internet Security
14/17



Viva Advanced

[zbc]

Trafiła kosa na kamień.
Dostałem maila z załącznikiem.
Sam mail dziwnie wygląda, oczywiście jakiś dziwny zip. Co ciekawe archiwum ma taką nazwę, co adres email odbiorcy. Po wypakowaniu następny zip, który nosi nazwę
"chabas_avignon_gard_vehicules_industriels", a w tym archiwum znajduje się plik o tej same nazwie z rozszerzeniem .scr. Na VT po detekcjach widać, że to downloader dalexis, który pobiera i otwiera CTB-Locker. Podejrzewam, że oszuści się pod kogoś podszywają (przeczytajcie treść wiadomości)
Nadawca (& zamiast @): cancerous&petrosaeed.com
Temat: chabas avignon gard vehicules industriels
Imię i nazwisko: Carolee Werring

Kod:

Treść: Good afternoon,

===============
CHABAS AVIGNON GARD VEHICULES INDUSTRIELS
67 Rte De NĂŽmes 30540 Milhaud
Milhaud
FRANCE
+33 466 07 69 08

Malware:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Virustotal:

[Aby zobaczyć linki, zarejestruj się tutaj]

Ps.
Skąd cyberprzestępcy znają takie adresy email?

Plik zgłoszony do laboratorium COMODO

[Miszel03]

Trafiła kosa na kamień.
Dostałem maila z załącznikiem.
Sam mail dziwnie wygląda, oczywiście jakiś dziwny zip. Co ciekawe archiwum ma taką nazwę, co adres email odbiorcy. Po wypakowaniu następny zip, który nosi nazwę
"chabas_avignon_gard_vehicules_industriels", a w tym archiwum znajduje się plik o tej same nazwie z rozszerzeniem .scr. Na VT po detekcjach widać, że to downloader dalexis, który pobiera i otwiera CTB-Locker. Podejrzewam, że oszuści się pod kogoś podszywają (przeczytajcie treść wiadomości)
Nadawca (& zamiast @): cancerous&petrosaeed.com
Temat: chabas avignon gard vehicules industriels
Imię i nazwisko: Carolee Werring

Kod:

Treść: Good afternoon,

===============
CHABAS AVIGNON GARD VEHICULES INDUSTRIELS
67 Rte De NĂŽmes 30540 Milhaud
Milhaud
FRANCE
+33 466 07 69 08

Malware:

Treść widoczna jedynie dla zarejestrowanych użytkowników

Zaraz
Virustotal:

[Aby zobaczyć linki, zarejestruj się tutaj]

Ps.
Skąd cyberprzestępcy znają takie adresy email?

Plik zgłoszony do laboratorium COMODO

Program podszywa się pod wygaszacz ekranu.

downloader pobiera CTB-Lockera i go wykonuje.

Nic nadzwyczajnego