查看: 13565|回复: 29
收起左侧

[交流探讨] 实机KES10简单双击测试.SW/APC.勒索病毒

  [复制链接]
qftest
发表于 2016-1-31 19:40:41 | 显示全部楼层 |阅读模式
本帖最后由 qftest 于 2016-1-31 19:40 编辑

楼主前两天被人形木马强制升级到win10。。。以下省略一万字
最近勒索病毒很猖獗,发个帖子纪念几个比较有代表性的分支样本(Ransom32/TeslaCrypt/LeChiffre/HELP_DECRYPT)

实机环境:
Win10x64 10586.71专业版(关闭SmartScreen)
Kaspersky Endpoint Security 10 for Windows SP1(SW/APC+关闭KSN)
每测试完一个样本就用PowerToolx64 1.9和Autoruns 11.7检查一次

===为了保证样本成功运行,全程戴套上网===
122646ro6kp2gxttrjpgyf.png

SW设置:
144335xa14ak3750gggj7m.png 144511k98ll9ekvwasglen.png 144654q5a57klz5l245sh5.png 144705a7nzg6wn8cpo1epp.png


Ransom32:http://bbs.kafan.cn/thread-1933943-1-1.html
120442mhsh8ux754uuz4g7.png 120443l6g8gplflgzsag1q.png 121242jssvaa55zo1o9g2z.png


Ransom.TeslaCrypt:http://bbs.kafan.cn/thread-1936308-1-1.html
123715px9vv9xpp9p98895.png 123716ebvuha32dbbhr7vb.png 123718ozk8etc9t98ku6hf.png


Ransom.HELP_DECRYPT:http://bbs.kafan.cn/thread-1960943-1-1.html
135727z6sf1jfg66xe6s1r.png 143225w8ii8l0i5k3fok3s.png


Ransom.LeChiffre:http://bbs.kafan.cn/thread-1936187-1-1.html
151604damr23eveoe6oevk.png

SW被过,未发现异常?


有数字签名的cryptowall 4.0:http://bbs.kafan.cn/thread-1960943-1-1.html
132046yakwv7vcvy744y44.png

SW被过,被修改启动项+网页,未加密木马服务器可能今天休息


其他几只新鲜的加密样本:
4ABF.tmp.exe:http://bbs.kafan.cn/thread-1936859-1-1.html
153728ax1r1ppfppi7l0ys.png

4894.tmp.exe:http://bbs.kafan.cn/thread-1960941-1-1.html
154659sbzjqa5oyjhjhbqp.png

6897.tmp.exe:http://bbs.kafan.cn/thread-1936774-1-1.html
155426vqx01qqmm10b1bmb.png


@墨家小子
花式注入神马的最稀饭勒~
TMPD2E1.tmp花式注入:http://bbs.kafan.cn/thread-1935532-1-1.html
160212uwnp33nenep1efrx.png 160549p1rr0r7drmmh5rix.png

这个样本比较特别,SW不断弹窗报警,哈哈,下面试一下纯APC的注入防御
因为测的是APC,为了防止被意外加密所以添加了保护规则,方法可以参考 https://support.kaspersky.com/10905#block1

APC设置:
161904j4ny4myy6zv3nfby.png 161904sglp42iwggfyx40u.png 161905con22hrrj6oaa3sa.png 161905u4vccv3abrwmcrti.png 161906c3se0sizr6166c06.png 162335sgggqkcg1jvghhtq.png

APC直接检测出、自动归类为不信任组且不可调整:
163227rmrr9jegieiemqqr.png

下面手动将不信任组权限(包括受保护资源的访问权限)修改为与低限组一致,观察APC拦截注入的情况:
171953zeyhszqs0syhxdgp.png
171954leaam2es1v24e4om.png
171955gcq2u55eujqyceyu.png

尽管拦截了6w+次的注入修改,但未在资源保护表中的文件仍然被加密了(如.txt文件),并且每个目录下都被创建了勒索信:
172700cwi94xhyxiuqy9dh.png

评分

参与人数 4分享 +2 人气 +3 收起 理由
dongwenqi + 1 版区有你更精彩: )
ericdj + 1 很给力!
墨家小子 + 1 编辑采用~~
a330391 + 2 感谢提供分享

查看全部评分

qftest
 楼主| 发表于 2016-2-1 20:21:23 | 显示全部楼层
本帖最后由 qftest 于 2016-2-3 11:22 编辑
QQ1014530747 发表于 2016-2-1 20:16
哎那个pdm你看到了吗,那个只要入库了他就能联动病毒库拦截根本没屁用的,这根本不能体现什么来着


怕了你们这些扫描党了
入库后报毒名是唯一的吧?SW与APC报毒名不一样你看到了吗?
看不懂就不要回复了好吧





TMPD2E1花式注入加密SW备注:

KSN+BSS报PDM:Trojan.Win32.Bazon.a
11.png

BSS报PDM:Trojan.Win32.Generic
22.png

评分

参与人数 1人气 +1 收起 理由
dongwenqi + 1 感谢解答: )

查看全部评分

dongwenqi
发表于 2016-1-31 19:48:21 | 显示全部楼层
Ransom.LeChiffre和有数字签名的cryptowall 4.0,卡巴全杀
pal家族
发表于 2016-1-31 19:57:19 | 显示全部楼层
本帖最后由 pal家族 于 2016-1-31 20:00 编辑

额,如果 加密前必须注入,不注入就没法加密的话,拦截到注入不就可以组织加密了吗?最后一个加密什么情况啊。为何拦截注入仍然可以加密呢?
规则创建好的文件没动我就放心了,看来hips规则并非花瓶。

很想知道有数字签名那个可以加密的话,卡巴会不会拦截。可能是因为木马没有后续动作才导致卡巴放过了加启动项?有注入行为吗?仅仅添加启动项不拦截还勉强可以理解。。。

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 测试一个样本就可以,然后看能不能具有普遍.

查看全部评分

驭龙
发表于 2016-1-31 20:04:31 | 显示全部楼层
应用程序控制如果设置好,确实是对付勒索的不错手段,不错
蓝核
发表于 2016-1-31 20:04:41 | 显示全部楼层
我就感觉卡巴看设置越来越厉害了

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 兰兰~~~么么哒

查看全部评分

pal家族
发表于 2016-1-31 20:06:38 | 显示全部楼层
dongwenqi 发表于 2016-1-31 19:48
Ransom.LeChiffre和有数字签名的cryptowall 4.0,卡巴全杀

人家特殊测试主防,你这样回复有什么意义呢?
boyving
发表于 2016-1-31 20:21:59 | 显示全部楼层
好像是卡巴企业版,不是我购买的版本哦。
墨家小子
发表于 2016-1-31 20:24:51 | 显示全部楼层
真麻烦啊,我大ESET不需要云拉黑不需要特征码不要主防,全天候全环境拦截注入,木马全都懵逼
还不如把样本拉到低限制组测试注入呢
我以前都是未知程序自动加入低限制组,然后像你那样修改限制
话说卡巴在Win10x64下也能拦截注入,很帅啊
……
目前还找不到媲美NIS+HMPA+SSF(去掉操作系统防护+防火墙)这样的组合,既能安装程序又能最大限度地防御信息泄露阻止数据篡改

评分

参与人数 1人气 +1 收起 理由
qftest + 1 主要想看一下卡巴的启发会将这种样本自动归.

查看全部评分

墨家小子
发表于 2016-1-31 20:26:27 | 显示全部楼层
dongwenqi 发表于 2016-1-31 19:48
Ransom.LeChiffre和有数字签名的cryptowall 4.0,卡巴全杀

你知不知道你有点烦人了?
墨家小子
发表于 2016-1-31 20:27:29 | 显示全部楼层
pal家族 发表于 2016-1-31 20:06
人家特殊测试主防,你这样回复有什么意义呢?

你们卡巴区也有这样的选手啊
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 06:30 , Processed in 0.160011 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表