楼主: xingyux1
收起左侧

[病毒样本] 自制勒索bat病毒基于rar对文件加密压缩

[复制链接]
xingyux1
 楼主| 发表于 2019-6-14 23:57:42 | 显示全部楼层
www-tekeze 发表于 2019-6-14 23:55
看到了。。。但你看20楼,D盘有用怎么C盘就不行呢?从原理上说不通,也许是bug?你可以给官方反馈下。

...

c盘根目录创建了 1.txt 2.txt这些文件没有? 有的话你删了这些txt重启下再在c盘运行bat看看

应该就会被加密了
xingyux1
 楼主| 发表于 2019-6-15 00:12:16 | 显示全部楼层
www-tekeze 发表于 2019-6-14 23:55
看到了。。。但你看20楼,D盘有用怎么C盘就不行呢?从原理上说不通,也许是bug?你可以给官方反馈下。

...

测试了下F盘一样会被加密

其他的我不测了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
神算子
发表于 2019-6-15 10:13:13 | 显示全部楼层
楼主威武
3245076553
发表于 2019-6-15 11:25:45 | 显示全部楼层
其实bat里有调用系统进行压缩的指令,如果混和certutil指令进行二次加密会更好
3245076553
发表于 2019-6-15 11:34:24 | 显示全部楼层
3245076553 发表于 2019-6-15 11:25
其实bat里有调用系统进行压缩的指令,如果混和certutil指令进行二次加密会更好

例如makecab指令,是用于压缩的。certutil是进行base64加密的
智量官方
发表于 2019-6-15 16:49:25 | 显示全部楼层
杀软病综合医院 发表于 2019-6-14 23:06
我把桌面文件夹设为诱捕文件夹,结果记事本对文本修改都会触发预警
这个跟文档保护不太一样,文档保护有 ...

您好,感谢您的测试。
我们的勒索诱捕就是这样设计的。
www-tekeze
发表于 2019-6-15 17:06:18 | 显示全部楼层
智量官方 发表于 2019-6-15 16:49
您好,感谢您的测试。
我们的勒索诱捕就是这样设计的。

建议官人仔细看下这个帖子,某些问题确实可以复现,比如将4.bat放在某个盘根目录下双击,可以删了诱饵文件夹里的exe和jpg,但智量却没反应!

智量官方
发表于 2019-6-15 17:19:34 | 显示全部楼层
www-tekeze 发表于 2019-6-15 17:06
建议官人仔细看下这个帖子,某些问题确实可以复现,比如将4.bat放在某个盘根目录下双击,可以删了诱饵文 ...

好的,我们测试一下

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 辛苦了!

查看全部评分

左手
发表于 2019-6-15 20:14:44 | 显示全部楼层
本帖最后由 左手 于 2019-6-15 20:16 编辑
  1. 2019/6/15 星期六 20:12:28    创建新进程 风险提示:未知    允许
  2. 进程: c:\windows\explorer.exe
  3. 目标: c:\windows\system32\cmd.exe
  4. 命令行: C:\windows\system32\cmd.exe /c ""C:\Users\Administrator\Desktop\新建文件夹\2.bat" "
  5. 规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]a003_《行为防御》_降权<1>

  6. 2019/6/15 星期六 20:12:34    创建文件 风险提示:低风险    允许
  7. 进程: c:\windows\system32\cmd.exe
  8. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  9. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  10. 2019/6/15 星期六 20:12:39    创建新进程 风险提示:未知    允许
  11. 进程: c:\windows\system32\cmd.exe
  12. 目标: c:\windows\system32\more.com
  13. 命令行: more  +1 *.bat
  14. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*

  15. 2019/6/15 星期六 20:12:39    修改文件 风险提示:木马    允许
  16. 进程: c:\windows\system32\more.com
  17. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  18. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  19. 2019/6/15 星期六 20:12:43    创建文件 风险提示:低风险    允许
  20. 进程: c:\windows\system32\cmd.exe
  21. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.bat
  22. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  23. 2019/6/15 星期六 20:12:48    创建文件 风险提示:低风险    允许
  24. 进程: c:\windows\system32\cmd.exe
  25. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.txt
  26. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  27. 2019/6/15 星期六 20:12:50    创建文件 风险提示:低风险    允许
  28. 进程: c:\windows\system32\cmd.exe
  29. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  30. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  31. 2019/6/15 星期六 20:12:55    创建新进程 风险提示:未知    允许
  32. 进程: c:\windows\system32\cmd.exe
  33. 目标: c:\windows\system32\wscript.exe
  34. 命令行: "C:\windows\System32\WScript.exe" "C:\Users\Administrator\Desktop\新建文件夹\11.vbs"
  35. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

  36. 2019/6/15 星期六 20:12:58    删除文件 风险提示:木马    允许
  37. 进程: c:\windows\system32\cmd.exe
  38. 目标: C:\Users\Administrator\Desktop\新建文件夹\2.bat
  39. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  40. 2019/6/15 星期六 20:13:04    读文件 风险提示:低风险    允许
  41. 进程: c:\windows\system32\wscript.exe
  42. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  43. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\wscript.exe -> [文件]*; *.vbs

  44. 2019/6/15 星期六 20:13:08    创建新进程 风险提示:未知    允许
  45. 进程: c:\windows\system32\wscript.exe
  46. 目标: c:\windows\system32\cmd.exe
  47. 命令行: "C:\Windows\System32\cmd.exe" /c 1.bat
  48. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  49. 2019/6/15 星期六 20:13:13    创建文件 风险提示:低风险    允许
  50. 进程: c:\windows\system32\cmd.exe
  51. 目标: C:\Users\Administrator\Desktop\新建文件夹\Rar.exe
  52. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  53. 2019/6/15 星期六 20:13:18    创建文件 风险提示:低风险    允许
  54. 进程: c:\windows\system32\cmd.exe
  55. 目标: C:\Users\Administrator\Desktop\新建文件夹\2.txt
  56. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  57. 2019/6/15 星期六 20:13:21    创建文件 风险提示:低风险    允许
  58. 进程: c:\windows\system32\cmd.exe
  59. 目标: C:\Users\Administrator\Desktop\新建文件夹\3.txt
  60. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  61. 2019/6/15 星期六 20:13:24    创建文件 风险提示:低风险    允许
  62. 进程: c:\windows\system32\cmd.exe
  63. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.txt
  64. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  65. 2019/6/15 星期六 20:13:26    创建文件 风险提示:低风险    允许
  66. 进程: c:\windows\system32\cmd.exe
  67. 目标: C:\Users\Administrator\Desktop\新建文件夹\4.txt
  68. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  69. 2019/6/15 星期六 20:13:29    创建文件 风险提示:低风险    允许
  70. 进程: c:\windows\system32\cmd.exe
  71. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  72. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  73. 2019/6/15 星期六 20:13:32    创建新进程 风险提示:未知    允许
  74. 进程: c:\windows\system32\cmd.exe
  75. 目标: c:\windows\system32\more.com
  76. 命令行: more  +1 1.txt
  77. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*

  78. 2019/6/15 星期六 20:13:32    修改文件 风险提示:木马 (3)    允许
  79. 进程: c:\windows\system32\more.com
  80. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  81. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  82. 2019/6/15 星期六 20:13:35    创建新进程 风险提示:未知    允许
  83. 进程: c:\windows\system32\cmd.exe
  84. 目标: c:\users\administrator\desktop\新建文件夹\rar.exe
  85. 命令行: rar.exe  a -hp2n9smftyj -df  "nxspqvizr.rar" "C:\Users\Administrator\Desktop\新建文件夹\Rar.exe       "
  86. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*.exe

  87. 2019/6/15 星期六 20:13:40    删除文件 风险提示:木马    允许
  88. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  89. 目标: C:\Users\Administrator\Desktop\新建文件夹\Rar.exe
  90. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  91. 2019/6/15 星期六 20:13:40    修改文件 风险提示:木马 (3)    允许
  92. 进程: c:\windows\system32\more.com
  93. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  94. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  95. 2019/6/15 星期六 20:13:47    删除文件 风险提示:木马    阻止
  96. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  97. 目标: C:\Users\Administrator\Desktop\新建文件夹\郑.jpg
  98. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.jpg

  99. 2019/6/15 星期六 20:13:47    删除文件 风险提示:木马    阻止
  100. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  101. 目标: C:\Users\Administrator\Desktop\新建文件夹\郑.jpg
  102. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\新建文件夹\rar.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 郑.jpg

  103. 2019/6/15 星期六 20:13:47    修改文件 风险提示:木马 (3)    允许
  104. 进程: c:\windows\system32\more.com
  105. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  106. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  107. 2019/6/15 星期六 20:13:52    删除文件 风险提示:木马    阻止
  108. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  109. 目标: C:\Users\Administrator\Desktop\新建文件夹\周.jpg
  110. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  111. 2019/6/15 星期六 20:13:52    删除文件 风险提示:木马    阻止
  112. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  113. 目标: C:\Users\Administrator\Desktop\新建文件夹\周.jpg
  114. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\新建文件夹\rar.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 周.jpg

  115. 2019/6/15 星期六 20:13:56    删除文件 风险提示:木马    阻止
  116. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  117. 目标: C:\Users\Administrator\Desktop\新建文件夹\庄.jpg
  118. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  119. 2019/6/15 星期六 20:13:56    删除文件 风险提示:木马    阻止
  120. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  121. 目标: C:\Users\Administrator\Desktop\新建文件夹\庄.jpg
  122. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\新建文件夹\rar.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 庄.jpg

  123. 2019/6/15 星期六 20:14:00    删除文件 风险提示:木马    阻止
  124. 进程: c:\windows\system32\cmd.exe
  125. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.bat
  126. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  127. 2019/6/15 星期六 20:14:00    删除文件 风险提示:木马    阻止
  128. 进程: c:\windows\system32\cmd.exe
  129. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.bat
  130. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 1.bat

  131. 2019/6/15 星期六 20:14:03    删除文件 风险提示:木马    阻止
  132. 进程: c:\windows\system32\cmd.exe
  133. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  134. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  135. 2019/6/15 星期六 20:14:03    删除文件 风险提示:木马    阻止
  136. 进程: c:\windows\system32\cmd.exe
  137. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  138. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 11.vbs

复制代码


只发现删除,并无修改动作。我漏了?
xingyux1
 楼主| 发表于 2019-6-15 20:33:57 | 显示全部楼层
左手 发表于 2019-6-15 20:14
只发现删除,并无修改动作。我漏了?

这个是rar先加密再删除

如果是禁止删除 像你这个规则就只能看到删除操作了


评分

参与人数 1人气 +1 收起 理由
左手 + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 15:00 , Processed in 0.101973 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表