楼主: 温馨小屋
收起左侧

[讨论] Java自制勒索样本测试

  [复制链接]
360牛逼
发表于 2021-2-26 18:09:11 | 显示全部楼层
入沙是不是就相当于拦截成功了?
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:41:42 | 显示全部楼层
hsks 发表于 2021-2-26 10:11
记得没错的话360只对修改敏感文档(图片,文档之类的)才有反应,不然即使加密了也不吭一声
之前某 ...

我桌面放的文件就是图片

火绒不抱什么希望
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:42:31 | 显示全部楼层
knight0756 发表于 2021-2-26 08:39
小心清零盘, 建议不买oem的, 买intel原厂的. 然后升级固件, 如果没问题, 基本上就没问题了.

确实,清零盘问题越来越严重了,Intel都快把工厂卖掉了。我几年前买的非OEM的S3520,先用着吧
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:44:21 | 显示全部楼层
munsimli 发表于 2021-2-26 13:28
近期虛擬機多在玩fsp,一開始總覺得幾家主流廠商都有資料夾防護了,
為啥卡巴不做,結果幾個樣本下來, ...

之前BD也有锁文件夹防勒索,这种功能很死板,用户体验不好,有误报,后来BD就用自动防勒索模块把它替换掉了。

不过锁文件夹也防不住这个确实有点匪夷所思。
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:45:38 | 显示全部楼层
HEMM 发表于 2021-2-26 14:01
WD的那玩意儿排除也需要指令输入,简直和游戏作弊码一样,它要真想让人用就直接开放界面按钮.....
...

规则拦截漏洞那不跟IPS差不多了,这功能就没啥意思了
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:46:49 | 显示全部楼层
喀反 发表于 2021-2-26 14:22
我上次也是被勒索加密了,还开了360的勒索赔付,联系360的技术人员后他们那边开核晶可以拦截,但是我电脑 ...

现在还用虚拟化支持防护的杀软几乎都没有了,不知道360的核晶有啥重要作用

就算你开了核晶,他们还会有新的理由的。
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:47:58 | 显示全部楼层

反正我样本区点了一个月诺顿之后,已经不敢装这个杀软了
henry217
发表于 2021-2-26 18:48:30 | 显示全部楼层
温馨小屋 发表于 2021-2-26 18:47
反正我样本区点了一个月诺顿之后,已经不敢装这个杀软了
这是刚才样本区的勒索

运行了大概一分钟才回滚

挺好


文件名: 1.exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2021/2/26 ( 18:42:31 )

上次使用时间
2021/2/26 ( 18:42:31 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


1.exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
WinRAR.exe

创建的文件:
1.exe

____________________________

文件操作

文件: c:\Users\henry\Desktop\ 1.exe 威胁已删除
文件: c:\Users\henry\Desktop\ 1.7z 威胁已删除
文件: c:\Users\henry\Desktop\ Artemon.txt 威胁已删除
文件: c:\Users\henry\Desktop\ a.mischamyfriend 威胁已删除
文件: c:\Users\henry\Desktop\ b.petyamyfriend 威胁已删除
文件: c:\Users\henry\Desktop\ exeexeexe1.artemontrojan 威胁已删除
文件: c:\Users\henry\Desktop\ encrypt.ransom 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-3520252794-2247337388-1740164364-1001\ HKEY_LOCAL_MACHINE, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\henry\desktop\1.exe, PID:4344) 未采取操作
事件: 进程启动: c:\users\henry\desktop\ 1.exe, PID:4344 (执行者 c:\users\henry\desktop\1.exe, PID:4344) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用



新勒索回滚成功了
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:48:30 | 显示全部楼层
360牛逼 发表于 2021-2-26 18:09
入沙是不是就相当于拦截成功了?

入沙肯定能拦截成功,但是也会对使用造成很多不便
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-26 18:49:34 | 显示全部楼层
henry217 发表于 2021-2-26 18:48
这是刚才样本区的勒索

运行了大概一分钟才回滚

确实能170杀一部分,不过miss掉的也不少,尤其是PS1勒索
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 17:17 , Processed in 0.111149 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表