自制白加黑勒索

Shake2333

淦，eset到现在还没拉黑，失望了，还是得搭配智量使用

Shake2333

anthonyqian 发表于 2020-12-14 22:30
ESET 上传10小时都没反应，我看了一下，还上报给了微软，9小时没反应

eset我也上报了，到现在还是没反应，失望

storyhare0

lixihong10 发表于 2020-12-15 09:26
拦截成功

这个是哪一款杀软的界面？

storyhare0

现在360都已经拉黑了。

lixihong10

storyhare0 发表于 2020-12-16 08:54
这个是哪一款杀软的界面？

不是杀毒软件，是以前测试的防御勒索的软件。

anthonyqian

Shake2333 发表于 2020-12-16 00:04
eset我也上报了，到现在还是没反应，失望

我是邮件+软件内置的样本提交都上报了，到现在还是信誉未知

00006666

将楼主样本解压后使用7Z压缩（无密码），上传到多家在线沙箱平台分析


360  安全大脑沙箱云检测结果https://ata.360.cn/report/7936956502016/analyse

微步云沙箱检测结果
https://s.threatbook.cn/report/file/edd49f1ff0abb56ac5ef3e452aeb5bf342f3219506a6b842475c5b4e3eb8f3e9/?env=win7_sp1_enx64_office2013


奇安信威胁情报中心文件深度分析系统检测结果
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&sha1=b7a55966910d31f0d421efeabacaba4839ad13be&id=AXZpVaJGrhBQMG46IA_E&env=&time=


腾讯哈勃文件行为分析系统检测结果
https://habo.qq.com/file/showdetail?pk=ADcGY11vB2MIOVs%2BU2I%3D


魔盾文件行为分析https://www.maldun.com/analysis/YXNkZmRzZmFkc2Y1OTg4Njdkc2Zhc2RmYXNkZg==/




其中360安全大脑沙箱云，魔盾行为分析，奇安信威胁情报中心文件分析平台可以检测到楼主样本的行为（显示具体的文件加密替换行为操作，显示替换后的文件后缀名）


在斗象科技云沙箱里似乎发现楼主样本除了加密文件还有一些奇怪的行为
斗象云沙箱分析结果

斗象云沙箱-样本分析结果-行为逻辑关系图
由于楼主样本存在检测调试器/虚拟机的行为（执行多种反沙箱技术，试图在虚拟机中隐藏真实行为），并且会尝试进行延时执行以逃避杀软仿真器扫描（动态启发扫描），本人怀疑各位使用虚拟机运行双击并不能得到文件真实行为。

这里邀请楼上的大佬帮忙确认下斗象沙箱所示行为是否危险    @lixihong10



微步沙箱似乎没能成功运行楼主样本

lixihong10

00006666 发表于 2020-12-16 10:28
将楼主样本解压后使用7Z压缩（无密码），上传到多家在线沙箱平台分析

都是一些正常的操作。
本来还想实机运行一下，结果我这win10还运行不了。

第二个号

FSCS kill dll

Kinhold

左手 发表于 2020-12-15 20:53

自定义规则某些时候很有用