阿道夫希特勒勒索病毒改进版 加密算法：RC4+RSA

千里同风

火绒扫描报毒立即隔离，但只需将病毒改1个字节就“安全”了，太水了

xndd

！！！不敢测试！怕怕

，就一个.

ELOHIM 发表于 2018-5-31 16:42
嗯。我也是7.SCEP跟WD比不了的。。

实机真心没勇气双击…………

R12版本 还不错

momng

Avast AVG果然厉害啊，感觉卡巴现在越来越松了

黃威德

下載不了~?!

inilqaz123

谁测试一下norton

hansyu

，就一个. 发表于 2018-6-1 17:26
R12版本 还不错

LS是静态检测吧，没有运行就清除了。

，就一个.

hansyu 发表于 2018-6-1 21:41
LS是静态检测吧，没有运行就清除了。

不完全属于静态，包含有基本的规则 运行时触发特定的规则就杀  对于有的样本 动态分析包括机器学习有用，比如注入类，像是勒索类动态分析没用，都被加密了还分析个毛啊，就算有回滚也没用比如卡巴，GD就属于这种，建议好多次了，他们不听，还说什么根据分析加密行为来阻止，在这之前被加密几个文件是没办法的，说这种方法比较不占用资源，我就不明白了。 但是这个样本GD主防一样双击就杀，IDP也杀，这个样本貌似第一个动作就悄悄创建自启动，太明显了，好多主防都杀，包括金山毒霸的铠甲。要真正第二个动作运行再清除就没意义了，就像卡巴SW，有时候是判定第二步加密动作才阻止。

安全守护者

1. 行为类别        行为等级        行为说明
   
2. 进程开始执行        [普通]        被 vasstarter.exe（1152）创建的进程开始执行
   
3. 脱壳        [敏感]        代码自解压，逃避分析与查杀
   
4. 加载模块        [普通]        加载模块 HarddiskVolume2\Windows\System32\wow64win.dll
   
5. 读取文件        [普通]        读取文件 HarddiskVolume2\Users\win10user\Documents\desktop.ini
   
6. 创建互斥量        [敏感]        创建互斥量 Global\SyncRootManager 防止重复感染
   
7. 设置注册表中键值        [敏感]        设置注册表中键 \REGISTRY\USER\S-1-5-21-680952441-3638152375-4209678667-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP 的值 ProxyBypass
   
8. 跨进程内存读取        [高危]        读取 svchost.exe 进程中的数据，窃取信息
   
9. 检测分析环境        [普通]        通过 sleep(180s) 技术检测虚拟机或调试器，逃避分析与查杀
   
10. 变更权限        [高危]        改变进程的权限
    
11. 跨进程内存写入        [高危]        修改进程 svchost.exe 的内存数据
    
12. 调用WMI        [敏感]        通过WMI获取和篡改系统信息
    
13. 执行WMI语句        [高危]        执行 Wql 语句 references of {__Win32Provider.Name="CIMWin32"}
    
14. 写入文件        [高危]        写入文件 HarddiskVolume2\Users\win10user\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-680952441-3638152375-4209678667-1001\7f74b13e2c29b15a2cef60d4c6962f65_9c351096-b464-45d3-81d5-8dddb19b7caa
    
15. 探测分析环境        [高危]        检测自己是否在分析环境中
    
16. 窃取机密文件        [高危]        扫描磁盘，窃取主机上的机密文件
    
17. 破坏机密文件        [高危]        扫描磁盘，破坏主机上的机密文件
    
18. 盗取用户隐私        [高危]        扫描磁盘，盗取用户照片等隐私数据
    
19. 读取系统文件        [敏感]        读取文件 HarddiskVolume2\Windows\win.ini
    
20. 破坏私密文件        [高危]        扫描磁盘，破坏用户照片等私密文件
    
21. 窃取用户密码        [高危]        扫描磁盘，窃取用户密码数据
    
22. 破坏用户密码数据        [高危]        扫描磁盘，更改用户密码数据
    
23. 删除注册表键值        [高危]        删除注册表键 \REGISTRY\USER\S-1-5-21-680952441-3638152375-4209678667-1001\SOFTWARE\MICROSOFT\MULTIMEDIA\ACTIVEMOVIE\FILTER CACHE 的值 1

复制代码

安全守护者

厉害到卡巴斯基说是安全的（个人加数签）