| 文件名 |
tsay.exe |
| 文件大小 |
460,288 KB |
| 文件MD5 |
1071d6d497a10cef44db396c07ccde65
|
| 文件SHA1 |
71aa3a0af1eda821a1deddf616841c14c3bbd2e3 |
| 文件SHA256 |
c8793eb7c80a09e1542e424ea89c23c195d364892620562e06b3df602890929 |
| 文件CRC |
07f3732f |
| 文件類型 |
exe |
C:\\windows\\tsay.exe
C:\windows\ttry.exe
3.刪除相關的注冊表啟動項。
注冊表位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\msfsa
4.嘗試進行數據恢復。
由於病毒程序對磁盤進行了刪除操作,在不重啟的條件下,恢復的概率要大一些,恢復的內容要多一些,所以在中毒后,不要重啟或關機。可以使用R-Studio、DiskGenius、PuranFileRecovery等數據恢復軟件恢復大部分文件。下圖是實驗的結果,不重啟的情況下,可以恢復大部分文件,一定概率可以完全恢復。
1. 提高安全意識,使用U盤前用殺毒軟件進行病毒掃描后再使用;也可以通過管控功能禁止不明移動存儲設備進入內網。
2. 安裝殺軟並進行更新(病毒較老,一般殺軟都能進行查殺)。
0X05 IOC
目前收集的病毒文件Md5值
4b982fe1558576b420589faa9d55e81a
1071d6d497a10cef44db396c07ccde65
915178156c8caa25b548484c97dd19c1
97569a91067bcec8539592dc0cbd0bc0
3faaf23746fdfd611ee5c9637f827880
722e62305ad58e326a932b24359fdc0e
99139acb7ce08c0a909298c9384481e7
b3a82d7dc378b4c4826985b29fd7bd81
451e01299c11d63c07d5dc1b766a15e8
01838e9dde5804dcb082568c7187de93
1eb13495bc898625fa933037678ba109
dc4b6ce35dad889d81fc90999245052f
f7ab80e1f34a9b404b2493afe481f15d
4510511224001df92441d963ed155568
413799fb41ce1ca31ec694a77090e3cb
82fdde48b6947bc40034f72222d0a458
0846f9a43c5ee0df29b6ff9a2f212e7f
fb926306e22f66b02832a64023ed658c
f5ae828a59481eba69ff61aba341ebb1
683accc8be875f6ab8289ea1d86038c1
77cb0524cd4c9f84603edbf84511ad48
53485bc9bd363831f4d92ed628520746
35cdf9a8c8b8a1c50cb3d571160ad267
647ad17021eb5670678e0f34823137b8
a55b25e6439d07cc8f12c4a3215eedc8
044a13bbb2d6d42ee542a5b78ac43012
f46d1436d98c456be1bdf7fd0ea3949f
