收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 自制勒索bat病毒基于rar对文件加密压缩
123456下一页
返回列表 发新帖
楼主: xingyux1
 收起左侧

[病毒样本] 自制勒索bat病毒基于rar对文件加密压缩

[复制链接]
xingyux1
 楼主| 发表于 2019-6-14 23:57:42 | 显示全部楼层
www-tekeze 发表于 2019-6-14 23:55
看到了。。。但你看20楼,D盘有用怎么C盘就不行呢?从原理上说不通,也许是bug?你可以给官方反馈下。

...

c盘根目录创建了 1.txt 2.txt这些文件没有? 有的话你删了这些txt重启下再在c盘运行bat看看

应该就会被加密了
回复

举报

xingyux1
 楼主| 发表于 2019-6-15 00:12:16 | 显示全部楼层
www-tekeze 发表于 2019-6-14 23:55
看到了。。。但你看20楼,D盘有用怎么C盘就不行呢?从原理上说不通,也许是bug?你可以给官方反馈下。

...

测试了下F盘一样会被加密

其他的我不测了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

神算子
发表于 2019-6-15 10:13:13 | 显示全部楼层
楼主威武
回复

举报

3245076553
发表于 2019-6-15 11:25:45 | 显示全部楼层
其实bat里有调用系统进行压缩的指令,如果混和certutil指令进行二次加密会更好
回复

举报

3245076553
发表于 2019-6-15 11:34:24 | 显示全部楼层
3245076553 发表于 2019-6-15 11:25
其实bat里有调用系统进行压缩的指令,如果混和certutil指令进行二次加密会更好

例如makecab指令,是用于压缩的。certutil是进行base64加密的
回复

举报

智量官方
发表于 2019-6-15 16:49:25 | 显示全部楼层
杀软病综合医院 发表于 2019-6-14 23:06
我把桌面文件夹设为诱捕文件夹,结果记事本对文本修改都会触发预警
这个跟文档保护不太一样,文档保护有 ...

您好,感谢您的测试。
我们的勒索诱捕就是这样设计的。
回复

举报

www-tekeze
发表于 2019-6-15 17:06:18 | 显示全部楼层
智量官方 发表于 2019-6-15 16:49
您好,感谢您的测试。
我们的勒索诱捕就是这样设计的。

建议官人仔细看下这个帖子,某些问题确实可以复现,比如将4.bat放在某个盘根目录下双击,可以删了诱饵文件夹里的exe和jpg,但智量却没反应!

回复

举报

智量官方
发表于 2019-6-15 17:19:34 | 显示全部楼层
www-tekeze 发表于 2019-6-15 17:06
建议官人仔细看下这个帖子,某些问题确实可以复现,比如将4.bat放在某个盘根目录下双击,可以删了诱饵文 ...

好的,我们测试一下

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 辛苦了!

查看全部评分

回复

举报

左手
发表于 2019-6-15 20:14:44 | 显示全部楼层
本帖最后由 左手 于 2019-6-15 20:16 编辑
  1. 2019/6/15 星期六 20:12:28    创建新进程 风险提示:未知    允许
  2. 进程: c:\windows\explorer.exe
  3. 目标: c:\windows\system32\cmd.exe
  4. 命令行: C:\windows\system32\cmd.exe /c ""C:\Users\Administrator\Desktop\新建文件夹\2.bat" "
  5. 规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]a003_《行为防御》_降权<1>

  7. 2019/6/15 星期六 20:12:34    创建文件 风险提示:低风险    允许
  8. 进程: c:\windows\system32\cmd.exe
  9. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  10. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  12. 2019/6/15 星期六 20:12:39    创建新进程 风险提示:未知    允许
  13. 进程: c:\windows\system32\cmd.exe
  14. 目标: c:\windows\system32\more.com
  15. 命令行: more  +1 *.bat
  16. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*

  18. 2019/6/15 星期六 20:12:39    修改文件 风险提示:木马    允许
  19. 进程: c:\windows\system32\more.com
  20. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  21. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  23. 2019/6/15 星期六 20:12:43    创建文件 风险提示:低风险    允许
  24. 进程: c:\windows\system32\cmd.exe
  25. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.bat
  26. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  28. 2019/6/15 星期六 20:12:48    创建文件 风险提示:低风险    允许
  29. 进程: c:\windows\system32\cmd.exe
  30. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.txt
  31. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  33. 2019/6/15 星期六 20:12:50    创建文件 风险提示:低风险    允许
  34. 进程: c:\windows\system32\cmd.exe
  35. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  36. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  38. 2019/6/15 星期六 20:12:55    创建新进程 风险提示:未知    允许
  39. 进程: c:\windows\system32\cmd.exe
  40. 目标: c:\windows\system32\wscript.exe
  41. 命令行: "C:\windows\System32\WScript.exe" "C:\Users\Administrator\Desktop\新建文件夹\11.vbs"
  42. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\*.exe

  44. 2019/6/15 星期六 20:12:58    删除文件 风险提示:木马    允许
  45. 进程: c:\windows\system32\cmd.exe
  46. 目标: C:\Users\Administrator\Desktop\新建文件夹\2.bat
  47. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  49. 2019/6/15 星期六 20:13:04    读文件 风险提示:低风险    允许
  50. 进程: c:\windows\system32\wscript.exe
  51. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  52. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\wscript.exe -> [文件]*; *.vbs

  54. 2019/6/15 星期六 20:13:08    创建新进程 风险提示:未知    允许
  55. 进程: c:\windows\system32\wscript.exe
  56. 目标: c:\windows\system32\cmd.exe
  57. 命令行: "C:\Windows\System32\cmd.exe" /c 1.bat
  58. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  60. 2019/6/15 星期六 20:13:13    创建文件 风险提示:低风险    允许
  61. 进程: c:\windows\system32\cmd.exe
  62. 目标: C:\Users\Administrator\Desktop\新建文件夹\Rar.exe
  63. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  65. 2019/6/15 星期六 20:13:18    创建文件 风险提示:低风险    允许
  66. 进程: c:\windows\system32\cmd.exe
  67. 目标: C:\Users\Administrator\Desktop\新建文件夹\2.txt
  68. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  70. 2019/6/15 星期六 20:13:21    创建文件 风险提示:低风险    允许
  71. 进程: c:\windows\system32\cmd.exe
  72. 目标: C:\Users\Administrator\Desktop\新建文件夹\3.txt
  73. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  75. 2019/6/15 星期六 20:13:24    创建文件 风险提示:低风险    允许
  76. 进程: c:\windows\system32\cmd.exe
  77. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.txt
  78. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  80. 2019/6/15 星期六 20:13:26    创建文件 风险提示:低风险    允许
  81. 进程: c:\windows\system32\cmd.exe
  82. 目标: C:\Users\Administrator\Desktop\新建文件夹\4.txt
  83. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  85. 2019/6/15 星期六 20:13:29    创建文件 风险提示:低风险    允许
  86. 进程: c:\windows\system32\cmd.exe
  87. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  88. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  90. 2019/6/15 星期六 20:13:32    创建新进程 风险提示:未知    允许
  91. 进程: c:\windows\system32\cmd.exe
  92. 目标: c:\windows\system32\more.com
  93. 命令行: more  +1 1.txt
  94. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*

  96. 2019/6/15 星期六 20:13:32    修改文件 风险提示:木马 (3)    允许
  97. 进程: c:\windows\system32\more.com
  98. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  99. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  101. 2019/6/15 星期六 20:13:35    创建新进程 风险提示:未知    允许
  102. 进程: c:\windows\system32\cmd.exe
  103. 目标: c:\users\administrator\desktop\新建文件夹\rar.exe
  104. 命令行: rar.exe  a -hp2n9smftyj -df  "nxspqvizr.rar" "C:\Users\Administrator\Desktop\新建文件夹\Rar.exe       "
  105. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*.exe

  107. 2019/6/15 星期六 20:13:40    删除文件 风险提示:木马    允许
  108. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  109. 目标: C:\Users\Administrator\Desktop\新建文件夹\Rar.exe
  110. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  112. 2019/6/15 星期六 20:13:40    修改文件 风险提示:木马 (3)    允许
  113. 进程: c:\windows\system32\more.com
  114. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  115. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  117. 2019/6/15 星期六 20:13:47    删除文件 风险提示:木马    阻止
  118. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  119. 目标: C:\Users\Administrator\Desktop\新建文件夹\郑.jpg
  120. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《坚固》f299_询问修改的非执行文件>a100 -> [文件]*; *.jpg

  122. 2019/6/15 星期六 20:13:47    删除文件 风险提示:木马    阻止
  123. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  124. 目标: C:\Users\Administrator\Desktop\新建文件夹\郑.jpg
  125. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\新建文件夹\rar.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 郑.jpg

  127. 2019/6/15 星期六 20:13:47    修改文件 风险提示:木马 (3)    允许
  128. 进程: c:\windows\system32\more.com
  129. 目标: C:\Users\Administrator\Desktop\新建文件夹\a.tmp
  130. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的非执行文件>a100 -> [文件]*; *.tmp

  132. 2019/6/15 星期六 20:13:52    删除文件 风险提示:木马    阻止
  133. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  134. 目标: C:\Users\Administrator\Desktop\新建文件夹\周.jpg
  135. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  137. 2019/6/15 星期六 20:13:52    删除文件 风险提示:木马    阻止
  138. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  139. 目标: C:\Users\Administrator\Desktop\新建文件夹\周.jpg
  140. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\新建文件夹\rar.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 周.jpg

  142. 2019/6/15 星期六 20:13:56    删除文件 风险提示:木马    阻止
  143. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  144. 目标: C:\Users\Administrator\Desktop\新建文件夹\庄.jpg
  145. 规则: [应用程序]?:\*\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  147. 2019/6/15 星期六 20:13:56    删除文件 风险提示:木马    阻止
  148. 进程: c:\users\administrator\desktop\新建文件夹\rar.exe
  149. 目标: C:\Users\Administrator\Desktop\新建文件夹\庄.jpg
  150. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\新建文件夹\rar.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 庄.jpg

  152. 2019/6/15 星期六 20:14:00    删除文件 风险提示:木马    阻止
  153. 进程: c:\windows\system32\cmd.exe
  154. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.bat
  155. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  157. 2019/6/15 星期六 20:14:00    删除文件 风险提示:木马    阻止
  158. 进程: c:\windows\system32\cmd.exe
  159. 目标: C:\Users\Administrator\Desktop\新建文件夹\1.bat
  160. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 1.bat

  162. 2019/6/15 星期六 20:14:03    删除文件 风险提示:木马    阻止
  163. 进程: c:\windows\system32\cmd.exe
  164. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  165. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件组]《询问》f060_桌面

  167. 2019/6/15 星期六 20:14:03    删除文件 风险提示:木马    阻止
  168. 进程: c:\windows\system32\cmd.exe
  169. 目标: C:\Users\Administrator\Desktop\新建文件夹\11.vbs
  170. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\windows\system32\cmd.exe -> [文件]c:\users\administrator\desktop\新建文件夹; 11.vbs

复制代码


只发现删除,并无修改动作。我漏了?
回复

举报

xingyux1
 楼主| 发表于 2019-6-15 20:33:57 | 显示全部楼层
左手 发表于 2019-6-15 20:14
只发现删除,并无修改动作。我漏了?

这个是rar先加密再删除

如果是禁止删除 像你这个规则就只能看到删除操作了


评分

参与人数 1人气 +1 收起 理由
左手 + 1 感谢解答: )

查看全部评分

回复

举报

下一页 »
123456下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-24 17:26 , Processed in 0.088724 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表