楼主: houtiancheng
收起左侧

[技术原创] 自制勒索大战各种杀软[AVG终于入库] [样本已释出][胜者:360,趋势 [GD?]]

  [复制链接]
westbyte
头像被屏蔽
发表于 2016-12-19 00:08:46 | 显示全部楼层
360的工程师应该和楼主一样干过这样的事情,所以他们能搞这种思路的毒。
85683213
发表于 2016-12-19 00:36:31 | 显示全部楼层
对于现在的主防来说,断网测试是没有意义的,因为几乎都是靠"综合判定"。

像ATC你可以抓包试试看,开程式的第一件事就是查询md5,回传信誉资料。
像IDP你也不要以为没有,开程式的时候也是会查询云端。

这也是为甚么现在AV-C不做行为测试了

另外你可以试试调整一下Compiler和Linker设置会有甚么结果,例如不显示UI,让它完整成为Background Activity

我要打十個
发表于 2016-12-19 01:08:30 | 显示全部楼层
测下COMODO
据说那个viruscore对勒索有奇效
houtiancheng
 楼主| 发表于 2016-12-19 01:42:42 | 显示全部楼层
85683213 发表于 2016-12-19 00:36
对于现在的主防来说,断网测试是没有意义的,因为几乎都是靠"综合判定"。

像ATC你可以抓包试试看,开程 ...

信誉在这个测试中是没有意义的。
因此这是新文件,联网查信誉也会是未知,而我相信默认情况下(断网)时的信誉判定也必定是未知。
那么问题来了……除了信誉之外,主防还有哪些东西需要联网呢?
注册个用户名
发表于 2016-12-19 03:57:02 | 显示全部楼层
本帖最后由 注册个用户名 于 2016-12-19 03:59 编辑

楼主改天可以测试一下hips、xvirus personal firewall(有勒索监控功能)、影子系统?
aaa839
发表于 2016-12-19 04:29:57 | 显示全部楼层
你AVIRA肯定已更新,為何日期是黃色?
如果可以,請上傳樣本
GreenCodes
发表于 2016-12-19 05:20:38 | 显示全部楼层
houtiancheng 发表于 2016-12-18 22:39
看到这个……我觉得你不太懂吧……AES密钥只会在内存里,运行完即销毁。
本地保存的是RSA加密后的密钥 ...

嗯,我搞错了,公钥对于解密无用
linzh
发表于 2016-12-19 06:06:42 | 显示全部楼层
85683213 发表于 2016-12-19 00:36
对于现在的主防来说,断网测试是没有意义的,因为几乎都是靠"综合判定"。

像ATC你可以抓包试试看,开程 ...

ATC断网联网真的和检出率没关系,人家抓包查md5是查询这个文件是不是白文件,是为了降低误报,不是为了检出病毒,不然没这白文件名单ATC的误报率要上天了,随便安装一个软件分数分分钟上天
linzh
发表于 2016-12-19 06:17:33 | 显示全部楼层
本帖最后由 linzh 于 2016-12-19 11:35 编辑

咳咳:貌似产生了一点歧义
确实过了BD主防,卡巴主防,趋势主防,诺顿主防
我底下测的都是勒索防护模块和应用程序控制,只有趋势的结果和楼主不一样。。所以

ATC开高:miss



勒索防护打开:解压被杀(误(滑稽))

双击阻止访问桌面



SEP14:a杀不杀



趋势:设置勒索保护文件夹拦截了啊



另外楼主,建议搞一个双击立马加密的勒索看看ATC的反应。。ATC不会监测刚开始的几秒就不block了吧


卡巴斯基关闭自动选择推荐操作后测应用程序控制:桌面居然不算用户文件 ,下次知道了,果断加上桌面
hips只拦截了后面的我的文档的加密

日志:
[mw_shl_code=css,true]18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\Recover Your Files! Readme.txt        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Tulips.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\18B9CC5741A8FEBF38F4.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Tulips.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Penguins.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\CCF8C31935F684A380938B99.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Penguins.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Lighthouse.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\AA8652BC76A3D53B19D16FDBF265.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Lighthouse.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Let's run the game!        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\F5B4013177B47D3349856688DF7A9C92333C56.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Let's run the game!        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Koala.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\20AADEBD0E5BC518EA.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Koala.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Jellyfish.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\291857376F8895EC6B4A77CD0C.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Jellyfish.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Hydrangeas.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\A398104B7FB601D48D9067459C57.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Hydrangeas.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\C6DD17C7D2FF9B2DB8AC11.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Desert.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\A48BDD20C63E43D4AFDE.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Desert.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Chrysanthemum.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\14086AF8CD13FF33AFFF6B5DFCA22BB801.enc        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.23        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 读取 C:\Users\linzh\Documents\Chrysanthemum.jpg        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.30.21        已阻止可疑操作        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        操作: 创建 C:\Users\linzh\Documents\EncryptedKey.encskip        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:30
18.12.2016 17.26.59        应用程序已添加至组低限制组        C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        应用程序: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        原因: 根据计算评级        应用程序路径: C:\Users\linzh\Desktop\MyRansomware 密码MIMA\MyRansomware\MyRansomware.exe        时间: 2016/12/18 17:26
1[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
iduserid
发表于 2016-12-19 07:45:07 | 显示全部楼层
半年前金山QQ客服就说金山检测”加密‘’这个动作,
断网测下金山?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 02:41 , Processed in 0.095291 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表