查看: 22149|回复: 124
收起左侧

[技术原创] YourRansom - 自制勒索,我又回来了【测试中,卡巴/360/趋势防御成功】

  [复制链接]
popu111
发表于 2016-12-25 00:39:42 | 显示全部楼层 |阅读模式
本帖最后由 popu111 于 2016-12-25 13:36 编辑

额,在下先前的样本因为无脑硬肛杀软而基本被搞掉,于是在下卧薪尝胆半小时好好整顿了一下,目前形势喜人。

听说我原来那个有人上报了卡巴,所以这次先不直接放出,有要测试的可以找在下或者参与了测试的大佬们要。
各位测试了的大佬直接PM我即可加入统计列表,您可以自行开楼详细描述情况,然后我在表中添加链接。

关于解密器:因为目前传发的加密器有两个不同的版本,而使用错误版本的解密器会导致数据损坏,故暂不提供解密器,实机党请找在下索要样本以确保可以挽救你的数据。

关于为何已经有大神做了我还要做:一是因为兴趣爱好心血来潮,再者是在下感觉那个样本加密行为仅限于两个目录,动作有点小,于是搞了这么个遍历全盘的东西出来

下面是统计情况(防御成功的项目使用红色标出,情况有疑问的使用橙色标出):

测试项目 测试结果 测试人 具体情况及截图测试时间(大约)
火绒(12.24毒库)被加密 在下自己 懒得截了。。。12/24 23:30
CFW10(沙盘内) Viruscope无效 @电脑发烧友 等待大佬出现ing12/24 23:30
卡巴斯基(断网)主防杀并回滚@linzh测试截图12/24 23:30
BitDefender(中&高)被加密@linzh测试截图12/24 23:40
Malwarebytes被加密@神龟Turmi等待大佬出现ing12/24 23:50
SSF无意义,凑热闹@windows7爱好者留言 | 截图说明12/25 23:50
SEP(断网)被加密@linzh测试截图12/25 0:08
SEP(连网)部分加密@linzh测试截图12/25 0:20
趋势拦截并回滚@linzh测试截图12/25 0:30
360TS在第二个文件拦截?@linzh测试截图12/25 0:40
小a(默认设置)被加密在下自己截图12/25 1:00
大A(断网)疑似入库/误报&过IDP@houtiancheng 测试截图12/25 12:05
Gdata(断网)@青衣染雪留言 | 截图12/25 12:40
BitDefender(防勒索)防御成功@230f4留言(然而ATC依旧过)12/25 13:23



评分

参与人数 12分享 +2 人气 +11 收起 理由
小小瞻 + 1 版区有你更精彩: )
翼风Fly + 1 版区有你更性感: )
dongwenqi + 1 版区有你更精彩: )
784696777 + 1 +1s
HEMM + 1 CCAV,我要看CCAV~

查看全部评分

windows7爱好者
发表于 2016-12-25 00:42:35 | 显示全部楼层
我HIPS你告诉我无意义?
我强烈要求改结果
SSF需要手动添加被保护文件和文件夹,不添加就被加密了
这样改
popu111
 楼主| 发表于 2016-12-25 00:43:20 | 显示全部楼层
windows7爱好者 发表于 2016-12-25 00:42
我HIPS你告诉我无意义?
我强烈要求改结果
SSF需要手动添加被保护文件和文件夹,不添加就被加密了
...

太长影响观瞻,我直接给你加链接就好了

评分

参与人数 1人气 +1 收起 理由
windows7爱好者 + 1 再+1s

查看全部评分

而我到底是谁
发表于 2016-12-25 00:44:56 | 显示全部楼层
本帖最后由 而我到底是谁 于 2016-12-25 00:47 编辑


这么晚还测,dalao们真拼啊

话说回来,这个测试是只针对缉毒卫队开放的测试么。→v→
linzh
发表于 2016-12-25 00:46:49 | 显示全部楼层
本帖最后由 linzh 于 2016-12-25 01:05 编辑

卡巴斯基:主防完美拦截,回滚

日志:
[mw_shl_code=css,true]24.12.2016 10.38.10        恶意程序的操作已回滚        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.38.10        回滚恶意程序的操作时文件被恢复        c:\users\public\pictures\sample pictures\desert.jpg        对象: c:\users\public\pictures\sample pictures\desert.jpg        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.38.10        回滚恶意程序的操作时文件被恢复        c:\users\public\pictures\sample pictures\chrysanthemum.jpg        对象: c:\users\public\pictures\sample pictures\chrysanthemum.jpg        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.38.10        回滚恶意程序的操作时文件被恢复        c:\users\linzh\desktop\yourransom-win32.zip        对象: c:\users\linzh\desktop\yourransom-win32.zip        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:38
24.12.2016 10.37.58        恶意程序已删除        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:37
24.12.2016 10.37.50        检测到恶意程序        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序路径: c:\users\linzh\desktop\yourransom-win32\yourransom-win32.exe        时间: 2016/12/24 10:37
24.12.2016 10.37.45        应用程序已添加至组低限制组        C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        应用程序: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        原因: 根据计算评级        应用程序路径: C:\Users\linzh\Desktop\YourRansom-win32\YourRansom-win32.exe        时间: 2016/12/24 10:37[/mw_shl_code]




BD:ATC开高,完美哑火 ,没开防勒索,开了的话应该能够拦截





SEP14:
扫描:a杀不杀

断网双击:完美被过

联网双击:拦截一半





趋势:联网双击,没开防勒索,完美拦截,完美回滚





360TS联网: 弹窗拦截,阻止的话不会被加密


点击允许,全部被加密

PS:谁去测测360卫士

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
dongwenqi + 1 版区有你更精彩: )
popu111 + 1 来大家都+1s

查看全部评分

windows7爱好者
发表于 2016-12-25 00:48:03 | 显示全部楼层
给你补图
我的文档和这个新建文件夹我整个添加了FD规则
完好无损

剩下被加密的多是安装的软件里的内容

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
popu111 + 1 来大家都+1s

查看全部评分

popu111
 楼主| 发表于 2016-12-25 00:53:36 | 显示全部楼层
而我到底是谁 发表于 2016-12-25 00:44
这么晚还测,dalao们真拼啊

话说回来,这个测试是只针对缉毒卫队开放的测试么。→v→

并不是啊,只是卫队兄弟们联系有群比较方便,童鞋来测试么?
而我到底是谁
发表于 2016-12-25 00:55:34 | 显示全部楼层
popu111 发表于 2016-12-25 00:53
并不是啊,只是卫队兄弟们联系有群比较方便,童鞋来测试么?


倒是有意,小白混了卡饭这么久还没参与过测试,想想还有点小激动, 话说如果被锁是有key的是吧。
popu111
 楼主| 发表于 2016-12-25 00:57:07 | 显示全部楼层
而我到底是谁 发表于 2016-12-25 00:55
倒是有意,小白混了卡饭这么久还没参与过测试,想想还有点小激动, 话说如果被锁是有key的是吧 ...

是有的,但是没有测试能不能用(阴险脸),毕竟大都是虚拟机测试
而我到底是谁
发表于 2016-12-25 00:59:19 | 显示全部楼层
popu111 发表于 2016-12-25 00:57
是有的,但是没有测试能不能用(阴险脸),毕竟大都是虚拟机测试

这。。。那我还是看看算了。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 04:55 , Processed in 0.168854 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表