首页
论坛
专栏
课程

[病毒木马] [求助]朋友电脑中了勒索病毒

2018-3-11 15:14 2158
twe

[病毒木马] [求助]朋友电脑中了勒索病毒

2018-3-11 15:14
2158
朋友电脑中了勒索病毒,可以检测虚拟机,大佬,怎么分析啊!用peid没有显示壳,虚拟机运行不了,我用沙盒来运行他。
不会发上来,只能发百度云链接了,



[公告]安全服务和外包项目请将项目需求发到看雪企服平台:https://qifu.kanxue.com

最后于 2018-3-11 16:42 被kanxue编辑 ,原因:
上传的附件:
最新回复 (8)
twe 2018-3-11 15:20
2
0
链接:https://pan.baidu.com/s/1fiE62Ye4Acvv17jDqQx_3w 密码:gc11
张新琪 1 2018-3-11 20:55
3
0

最后于 2018-3-12 09:02 被张新琪编辑 ,原因:
waiWH 3 2018-3-12 06:49
4
0
被锁的dos界面
按住alt  用小键盘依次输入
20  32  31  80  224  79  63  63  105  16  162  216
感染mbr  太简单就不发帖分析了
另附idb
最后于 2018-3-12 11:10 被waiWH编辑 ,原因: 附上idb,ida7.0
上传的附件:
ghostfevil 2018-3-12 10:46
5
0
上楼  你用的IDA版本是哪个?
逻辑错误 1 2018-3-12 11:53
6
0

工具流写的样本, 这种样本特征基本就是固定了, 分析过好几个, 没啥新鲜的.
图片里面的注释写错了, 不应该是帐号, 应该是在dos界面下的提示. 
最后于 2018-3-12 11:59 被逻辑错误编辑 ,原因:
wowocock 1 2018-3-12 14:24
7
0
https://bbs.kafan.cn/thread-2117316-1-1.html
kanxue 8 2018-3-15 14:26
8
0
wowocock https://bbs.kafan.cn/thread-2117316-1-1.html
好工具,我转一份论坛保存

1,制作WINPE U盘
2,把附件程序拷贝到WINPE里
3,从U盘启动,解压后运行 FixRansomMbr
4 , 修复成功后,重启即可。

by  wowocock


最后于 2018-3-15 14:27 被kanxue编辑 ,原因:
上传的附件:
不对 2018-3-15 14:49
9
0
emmmm,是这样的,楼主,这个我见过,我在测试机器上试过,win8是个大坑,按照4楼那个样子输入是不能够恢复的,我当时的做法是用PE里面的diskgenius搜索分区表(好像是),然后重建的MBR
游客
登录 | 注册 方可回帖
返回