CXK-NMSL 勒索V2.0

显示全部楼层 · 发表于 2019-10-21 00:30:04

SEP Scan Miss，双击SONAR没反应。

显示全部楼层 · 发表于 2019-10-21 20:43:33

zay365 发表于 2019-10-20 23:44
这个样本好像只会加密同目录下的文件，所以会被过
我双击时360在已经加密了很多文件的情况下才弹框
PS: ...

当扩展名变为.cxk_nmsl的时候文件才被加密

显示全部楼层 · 发表于 2019-10-21 22:58:32

3245076553 发表于 2019-10-21 20:43
当扩展名变为.cxk_nmsl的时候文件才被加密

又试了一下还是把文件后缀名加上.cxkdata后就没动作了
这个批处理有BUG，我说我怎么在源码里看见了有勒索信，设置壁纸，播放bgm的动作但实际执行时却没有出现
修改了一下就能正常运行了

显示全部楼层 · 发表于 2019-10-21 23:10:02

好像bug是由于这个脚本把自身的文件名也加上后缀导致的，稍微修改下就能正常运行了@www-tekeze

显示全部楼层 · 发表于 2019-10-21 23:34:28

zay365 发表于 2019-10-21 23:10
好像bug是由于这个脚本把自身的文件名也加上后缀导致的，稍微修改下就能正常运行了@www-tekeze

是的，连自身的后缀也被改。。。不懂Code不关心了。。。

显示全部楼层 · 发表于 2019-10-22 20:49:18

zay365 发表于 2019-10-21 23:10
好像bug是由于这个脚本把自身的文件名也加上后缀导致的，稍微修改下就能正常运行了@www-tekeze

文件被占用时不是不可以修改的吗

显示全部楼层 · 发表于 2019-10-22 22:11:53

3245076553 发表于 2019-10-22 20:49
文件被占用时不是不可以修改的吗

所谓的进程占用文件就是获得该对象的句柄
不是所有的程序在使用文件时都会占用该文件的，记事本，WinRAR,Bandizip,Windows 图片查看器，画图等都不会，cmd也是

[病毒样本] CXK-NMSL 勒索V2.0