自制白加黑勒索

anthonyqian

hsmAllen 发表于 2020-12-15 11:01
昨天样本发出来差不多两个小时我就测试了，沙盒跑了有一分多钟杀的，目前一解压就信誉杀

我是在虚拟机里面测试的，样本是直接拖进虚拟机的，诺顿判断这些文件不是下载得来的，就没有报WS.Reputation.1。

a445441

huicuan 发表于 2020-12-14 22:37
啥情况这是，不是勒索吗

这个不就是调用的那个DLL吗？

秋日之殇

anthonyqian 发表于 2020-12-15 11:07
我是在虚拟机里面测试的，样本是直接拖进虚拟机的，诺顿判断这些文件不是下载得来的，就没有报WS.Reputat ...

不报WS.Reputation.1那报什么

anthonyqian

秋日之殇 发表于 2020-12-15 11:07
我知道。我说的是拉黑速度，从发现文件到能限制它可能的恶意活动。信誉杀也是其中一种呀。

诺顿的信誉杀WS.Reputation.1其实不涉及对样本恶意行为的分析，仅仅是诺顿觉得这个文件太稀有了/文件的元数据不可靠才会报的~

如果诺顿云端拉黑了，应该是报Heur.AdvML.C之类的。

swizzer

Black_lonely 发表于 2020-12-15 07:43
因为加密的代码是参考以前论坛发的勒索病毒生成器.c文件写的，所以有个饭友中招之后我就直接把那个勒索病 ...

不···我以为这应该是主防模型训练的问题，倒不一定是因为以前入过库···

在我印象里曾经的一些勒索软件会把私钥释放到本地、加密完成后再删除，这时智量主防会在释放私钥文件时就报Ransom.J

so,我觉得可能解密工具也有类似行为···

秋日之殇

anthonyqian 发表于 2020-12-15 11:16
诺顿的信誉杀WS.Reputation.1其实不涉及对样本恶意行为的分析，仅仅是诺顿觉得这个文件太稀有了/文件的元 ...

我理解的拉黑：将文件划入可疑、不受信任的分类中，但尚未进一步分类。（某些杀软只有unsafe一种报法的除外）
而Heur.AdvML.C，看名称明显是机器学习的报法呀

swizzer

秋日之殇 发表于 2020-12-15 12:23
我理解的拉黑：将文件划入可疑、不受信任的分类中，但尚未进一步分类。（某些杀软只有unsafe一种报法的除 ...

但是C报法确实有云端联动以前我测试时就试过，阻止Norton更新本地毒库，结果几天前不报的样本几天后C杀了···

不过可能是云机学，不一定是拉黑

anthonyqian

秋日之殇 发表于 2020-12-15 12:23
我理解的拉黑：将文件划入可疑、不受信任的分类中，但尚未进一步分类。（某些杀软只有unsafe一种报法的除 ...

Heur.AdvML.C在铁壳的体系里面是有云拉黑的可能的。就和Microsoft Defender的Trojan:Win32/Wacatac.C!ml 系列的报毒名差不多

智量官方

swizzer 发表于 2020-12-14 23:36
有意思的是，智量主防也杀了解密程序。。。

工具↓

你好，不是根据私钥的。
主要是这个解密的工具的行为也很像勒索程序，我们目前已经解除了对此工具的查杀.

左手

1. 2020/12/15 星期二 20:50:25    创建文件 风险提示:低风险    允许
   
2. 进程: c:\users\administrator\desktop\winword.exe
   
3. 目标: C:\Users\Administrator\Desktop\360安全浏览器.lnk.cxk
   
4. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
   
5. 
   
6. 2020/12/15 星期二 20:50:25    修改注册表值 风险提示:木马    阻止
   
7. 进程: c:\program files\百度网盘 v6.7.4 绿色优化版\helputility.exe
   
8. 目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
   
9. 值: 0x00000000(0)
   
10. 规则: [应用程序组]→a060_《＜下载工具＞迅雷酷我爱奇艺等_视音频网络》 -> [注册表组]阻止_关联保护
    
11. 
    
12. 2020/12/15 星期二 20:50:58    删除文件 风险提示:木马    阻止
    
13. 进程: c:\users\administrator\desktop\winword.exe
    
14. 目标: C:\Users\Administrator\Desktop\360安全浏览器.lnk
    
15. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]c:\users\*\desktop; *.lnk
    
16. 
    
17. 2020/12/15 星期二 20:50:58    创建文件 风险提示:低风险    允许
    
18. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
    
19. 目标: C:\Users\Administrator\Documents\Scrshot\20201215205039.png
    
20. 规则: [应用程序组]→a080_★★《受限运行＜常用的游戏和陌生程序＞》★★ -> [文件组]《询问》f247_Users&Documents and Settings(我的文档) -> [文件]?:\users\*\documents\*
    
21. 
    
22. 2020/12/15 星期二 20:50:58    创建文件 风险提示:低风险    允许
    
23. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
    
24. 目标: C:\Users\Administrator\Documents\Scrshot\20201215205052.png
    
25. 规则: [应用程序组]→a080_★★《受限运行＜常用的游戏和陌生程序＞》★★ -> [文件组]《询问》f247_Users&Documents and Settings(我的文档) -> [文件]?:\users\*\documents\*
    
26. 
    
27. 2020/12/15 星期二 20:51:30    创建文件 风险提示:低风险    允许
    
28. 进程: c:\users\administrator\desktop\winword.exe
    
29. 目标: C:\Users\Administrator\Desktop\360极速浏览器.lnk.cxk
    
30. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
    
31. 
    
32. 2020/12/15 星期二 20:51:30    创建文件 风险提示:低风险    允许
    
33. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
    
34. 目标: C:\Users\Administrator\Documents\Scrshot\20201215205107.png
    
35. 规则: [应用程序组]→a080_★★《受限运行＜常用的游戏和陌生程序＞》★★ -> [文件组]《询问》f247_Users&Documents and Settings(我的文档) -> [文件]?:\users\*\documents\*
    
36. 
    
37. 2020/12/15 星期二 20:51:30    读文件夹 风险提示:低风险    阻止
    
38. 进程: d:\program files\fscapture_v9.3_ch_v4\fscapture.exe
    
39. 目标: C:\$Recycle.Bin
    
40. 规则: [应用程序组]→a080_★★《受限运行＜常用的游戏和陌生程序＞》★★ -> [文件组]《保护》f228_系统引导程序 -> [文件]?:\; $recycle.bin
    
41. 
    
42. 2020/12/15 星期二 20:51:37    删除文件 风险提示:木马    阻止
    
43. 进程: c:\users\administrator\desktop\winword.exe
    
44. 目标: C:\Users\Administrator\Desktop\360极速浏览器.lnk
    
45. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件]c:\users\*\desktop; *.lnk
    
46. 
    
47. 2020/12/15 星期二 20:51:43    创建文件 风险提示:低风险    阻止
    
48. 进程: c:\users\administrator\desktop\winword.exe
    
49. 目标: C:\Users\Administrator\Desktop\all\20161122184127dpua1z.pdf.cxk
    
50. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
    
51. 
    
52. 2020/12/15 星期二 20:51:50    创建文件 风险提示:低风险    阻止
    
53. 进程: c:\users\administrator\desktop\winword.exe
    
54. 目标: C:\Users\Administrator\Desktop\all\All in\2018-2019\111.mpg.ese2.cxk
    
55. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*
    
56. 
    
57. 2020/12/15 星期二 20:51:50    创建文件 风险提示:低风险    阻止
    
58. 进程: c:\users\administrator\desktop\winword.exe
    
59. 目标: C:\Users\Administrator\Desktop\all\All in\2018-2019\111.mpg.ewc2.cxk
    
60. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\winword.exe -> [文件]c:\users\administrator\desktop\all\all in\2018-2019\*
    
61. 
    
62. 2020/12/15 星期二 20:51:50    创建文件 风险提示:低风险    阻止
    
63. 进程: c:\users\administrator\desktop\winword.exe
    
64. 目标: C:\Users\Administrator\Desktop\all\All in\2018-2019\888.mpg.ese2.cxk
    
65. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\winword.exe -> [文件]c:\users\administrator\desktop\all\all in\2018-2019\*
    
66. 
    
67. 2020/12/15 星期二 20:51:50    创建文件 风险提示:低风险    阻止
    
68. 进程: c:\users\administrator\desktop\winword.exe
    
69. 目标: C:\Users\Administrator\Desktop\all\All in\2018-2019\888.mpg.ewc2.cxk
    
70. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\winword.exe -> [文件]c:\users\administrator\desktop\all\all in\2018-2019\*
    
71. 
    
72. 2020/12/15 星期二 20:51:50    创建文件 风险提示:低风险    阻止
    
73. 进程: c:\users\administrator\desktop\winword.exe
    
74. 目标: C:\Users\Administrator\Desktop\all\All in\2018-2019\desktop.ini.cxk
    
75. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\desktop\winword.exe -> [文件]c:\users\administrator\desktop\all\all in\2018-2019\*
    
76. 
    

复制代码