自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

显示全部楼层 · 发表于 2016-12-18 22:31:14

我不懂如何编写程序，接下来的话可能会有错误。22楼的回复启发了我，之所以BD等杀软不拦截这个程序，会不会是因为把它当做正常的加密程序了呢？

显示全部楼层 · 发表于 2016-12-18 22:31:38

本帖最后由 houtiancheng 于 2016-12-18 22:47 编辑

rrorr 发表于 2016-12-18 22:26
也就是说只差一个上传密钥的的功能或者改变密钥生成条件使得只需要知道某些数据就能在外部生成密钥就行 ...

是的，目前这个也可实用，只不过需要用户自己用email把加密了的密钥传给我，我这边用RSA的private key解密再发回去才能完成解密。

显示全部楼层 · 发表于 2016-12-18 22:34:31

猪头无双发表于 2016-12-18 22:13
全新的毒，应该在行为上也有老的东西，估计启发如果好一点，应该能识别

但是记得ESET的启发引擎 ...

所谓启发可以查杀这类其实就是提取一个家族特征，然而楼主这个估计不属于哪个家族，所以启发估计也要挂。。

显示全部楼层 · 发表于 2016-12-18 22:35:12

windows7爱好者发表于 2016-12-18 22:19
我建议试下EAM和360
另外楼主可否私信下样本，我不会上传的，拿HIPS玩玩

360刚才测试了，可以拦截，一会楼主会更新帖子

显示全部楼层 · 发表于 2016-12-18 22:38:55

本帖最后由 houtiancheng 于 2016-12-18 22:52 编辑

GreenCodes 发表于 2016-12-18 22:27
我只能说你不懂勒索

你能把话讲明白点么……
在Readme里有说明，请仔细看图。
加密了的AES密钥需要连同bitcoin payment proof发送到指定邮箱。
之后只要我用RSA的私钥解密发来的AES的密钥发回，以及把解密程序发给就他好。
唯一的问题就是用的email而不是tor site，匿名性差一点，不过这个不难实现，只不过懒而已。

显示全部楼层 · 发表于 2016-12-18 22:39:54

本帖最后由 houtiancheng 于 2016-12-18 22:52 编辑

GreenCodes 发表于 2016-12-18 22:28
是啊，还要有销毁本地密钥的功能

看到这个……我觉得你不太懂吧……AES密钥只会在内存里，运行完即销毁。
本地保存的是RSA加密后的密钥，非对称加密来着= =|||

显示全部楼层 · 发表于 2016-12-18 22:39:57

vm001 发表于 2016-12-18 22:35
360刚才测试了，可以拦截，一会楼主会更新帖子

360真是简单粗暴

显示全部楼层 · 发表于 2016-12-18 22:41:31

楼主既然联网测试了，再测一遍被过的杀软呗。我觉得，ATC，卡巴应该会有反应，FS大概会报个罕见？

显示全部楼层 · 发表于 2016-12-18 22:42:06

小小瞻发表于 2016-12-18 22:31
我不懂如何编写程序，接下来的话可能会有错误。22楼的回复启发了我，之所以BD等杀软不拦截这个程序，会不会 ...

有可能，但是这个毫无疑问是一个勒索病毒，所以如果“被当作”正常程序，那只能说主防被过了……
因为正常地加密程序可不会要你交钱才能拿回密钥

显示全部楼层 · 发表于 2016-12-18 22:48:10

rrorr 发表于 2016-12-18 22:28
但是我不会改啊，不改的话特征码和行为应该是不会变的吧（也就是说只算是变种？）

象这种勒索模拟器https://shinolocker.com/ 没有提供选项，而暗网的在线生成器有提供加密方式加密目标等丰富选项，并不需要使用者懂代码修改也能自制勒索病毒

[技术原创] 自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

本帖子中包含更多资源