YourRansom - 自制勒索，我又回来了【测试中，卡巴/360/趋势防御成功】

popu111

额，在下先前的样本因为无脑硬肛杀软而基本被搞掉，于是在下卧薪尝胆半小时好好整顿了一下，目前形势喜人。

听说我原来那个有人上报了卡巴，所以这次先不直接放出，有要测试的可以找在下或者参与了测试的大佬们要。
各位测试了的大佬直接PM我即可加入统计列表，您可以自行开楼详细描述情况，然后我在表中添加链接。

关于解密器：因为目前传发的加密器有两个不同的版本，而使用错误版本的解密器会导致数据损坏，故暂不提供解密器，实机党请找在下索要样本以确保可以挽救你的数据。

关于为何已经有大神做了我还要做：一是因为兴趣爱好心血来潮，再者是在下感觉那个样本加密行为仅限于两个目录，动作有点小，于是搞了这么个遍历全盘的东西出来

下面是统计情况（防御成功的项目使用红色标出，情况有疑问的使用橙色标出）：

测试项目	测试结果	测试人	具体情况及截图	测试时间（大约）
火绒（12.24毒库）	被加密	在下自己	懒得截了。。。	12/24 23:30
CFW10（沙盘内）	Viruscope无效	@电脑发烧友	等待大佬出现ing	12/24 23:30
卡巴斯基（断网）	主防杀并回滚	@linzh	测试截图	12/24 23:30
BitDefender（中&高）	被加密	@linzh	测试截图	12/24 23:40
Malwarebytes	被加密	@神龟Turmi	等待大佬出现ing	12/24 23:50
SSF	无意义，凑热闹	@windows7爱好者	留言 | 截图说明	12/25 23:50
SEP（断网）	被加密	@linzh	测试截图	12/25 0:08
SEP（连网）	部分加密	@linzh	测试截图	12/25 0:20
趋势	拦截并回滚	@linzh	测试截图	12/25 0:30
360TS	在第二个文件拦截？	@linzh	测试截图	12/25 0:40
小a（默认设置）	被加密	在下自己	截图	12/25 1:00
大A（断网）	疑似入库/误报&过IDP	@houtiancheng	测试截图	12/25 12:05
Gdata（断网）	过	@青衣染雪	留言 | 截图	12/25 12:40
BitDefender（防勒索）	防御成功	@230f4	留言（然而ATC依旧过）	12/25 13:23

windows7爱好者

我HIPS你告诉我无意义？
我强烈要求改结果
SSF需要手动添加被保护文件和文件夹，不添加就被加密了
这样改

popu111

windows7爱好者 发表于 2016-12-25 00:42
我HIPS你告诉我无意义？
我强烈要求改结果
SSF需要手动添加被保护文件和文件夹，不添加就被加密了
...

太长影响观瞻，我直接给你加链接就好了

而我到底是谁

这么晚还测，dalao们真拼啊

话说回来，这个测试是只针对缉毒卫队开放的测试么。→v→

linzh

卡巴斯基：主防完美拦截，回滚

日志：
[mw_shl_code=css,true]24.12.2016 10.38.10        恶意程序的操作已回滚        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.38.10        回滚恶意程序的操作时文件被恢复        c:\users\public\pictures\sample pictures\desert.jpg        对象: c:\users\public\pictures\sample pictures\desert.jpg        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.38.10        回滚恶意程序的操作时文件被恢复        c:\users\public\pictures\sample pictures\chrysanthemum.jpg        对象: c:\users\public\pictures\sample pictures\chrysanthemum.jpg        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.38.10        回滚恶意程序的操作时文件被恢复        c:\users\linzh\desktop\yourransom-win32.zip        对象: c:\users\linzh\desktop\yourransom-win32.zip        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.37.58        恶意程序已删除        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:37
24.12.2016 10.37.50        检测到恶意程序        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:37
24.12.2016 10.37.45        应用程序已添加至组低限制组        C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        原因: 根据计算评级        应用程序路径: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        时间: 2016/12/24 10:37[/mw_shl_code]

---

BD：ATC开高，完美哑火 ，没开防勒索，开了的话应该能够拦截

---

SEP14：
扫描：a杀不杀

断网双击：完美被过

联网双击：拦截一半

---

趋势：联网双击，没开防勒索，完美拦截，完美回滚

---

360TS联网: 弹窗拦截，阻止的话不会被加密


点击允许，全部被加密

PS：谁去测测360卫士

windows7爱好者

给你补图
我的文档和这个新建文件夹我整个添加了FD规则
完好无损

剩下被加密的多是安装的软件里的内容

popu111

而我到底是谁 发表于 2016-12-25 00:44
这么晚还测，dalao们真拼啊

话说回来，这个测试是只针对缉毒卫队开放的测试么。→v→

并不是啊，只是卫队兄弟们联系有群比较方便，童鞋来测试么？

而我到底是谁

popu111 发表于 2016-12-25 00:53
并不是啊，只是卫队兄弟们联系有群比较方便，童鞋来测试么？

倒是有意，小白混了卡饭这么久还没参与过测试，想想还有点小激动， 话说如果被锁是有key的是吧。

popu111

而我到底是谁 发表于 2016-12-25 00:55
倒是有意，小白混了卡饭这么久还没参与过测试，想想还有点小激动， 话说如果被锁是有key的是吧 ...

是有的，但是没有测试能不能用（阴险脸），毕竟大都是虚拟机测试

而我到底是谁

popu111 发表于 2016-12-25 00:57
是有的，但是没有测试能不能用（阴险脸），毕竟大都是虚拟机测试

这。。。那我还是看看算了。。