楼主: 温馨小屋
收起左侧

[讨论] Java自制勒索样本测试

  [复制链接]
wwwab
发表于 2021-2-27 11:39:37 | 显示全部楼层
温馨小屋 发表于 2021-2-26 18:41
我桌面放的文件就是图片

火绒不抱什么希望

开了勒索诱捕也不一定,可能中途报毒。

火绒的勒索诱捕文件是在c盘根目录一个随机名称的隐藏文件夹里面的,你哪怕用office word打开,火绒都会勒索诱捕报毒……

但是通常勒索加密了几分钟,加密掉了二分之一或者三分之一的文件时才会触发这个勒索诱捕……当然不排除偶尔有些勒索根本就不触发的……
a8855942
发表于 2021-2-27 12:03:18 | 显示全部楼层
本帖最后由 a8855942 于 2021-2-27 12:05 编辑

评测看完了,十全十美的杀毒软件是很难找到的。不过这次瑞星智量牛了一次。卡巴依旧还是可以的。蜘蛛还行。
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-27 13:38:47 | 显示全部楼层
wwwab 发表于 2021-2-27 11:32
突然发现好多杀软主防都是杀的Java.exe,所以就算回传也会被当作误报处理的……(包括瑞星之剑也是)

像 ...

主防报exe这不很正常吗,主防报rundll32会把这个系统文件传上去吗?要真是这样那这个杀软太菜了,卡巴的主防都是会识别命令行的,直接找到jar文件

对于这种0广度的样本,人家不鸟很正常,只能说它主防有缺陷而已
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-27 13:39:59 | 显示全部楼层
wwwab 发表于 2021-2-27 11:39
开了勒索诱捕也不一定,可能中途报毒。

火绒的勒索诱捕文件是在c盘根目录一个随机名称的隐藏文件夹里 ...

我下一个勒索样本计划做一下反诱捕,直接跳过隐藏属性的文件就行了,可能智量这种都会趴窝

评分

参与人数 2人气 +6 收起 理由
星云劫 + 3 赞一个!
761773275 + 3 加分鼓励

查看全部评分

trumping
发表于 2021-2-27 14:23:25 来自手机 | 显示全部楼层
wohaofan1200 发表于 2021-2-24 20:02
瑞星之剑这么厉害啊

瑞星V17免费版的自身主防也防住了  收费版加人瑞星之剑 瑞星esm3.0 企业版 有三种防御系统对付勒索 瑞星之剑+行为主防+半人工智能防御 可笑一个esm3.0淘宝要600元 用不起
柯林
发表于 2021-2-27 14:35:52 | 显示全部楼层
温馨小屋 发表于 2021-2-27 13:38
主防报exe这不很正常吗,主防报rundll32会把这个系统文件传上去吗?要真是这样那这个杀软太菜了,卡巴的 ...

一般的系统上都没java软件,要安装java的才能跑起来吧?我查了下自用的系统win8.1,默认没java的,要专门安装java的才有java.exe和javaw.exe?一般人系统上没java虚拟机的,默认关联是压缩软件打开jar文件吧,这个要跑起来,是用cmd去执行?
柯林
发表于 2021-2-27 14:39:18 | 显示全部楼层
温馨小屋 发表于 2021-2-27 13:39
我下一个勒索样本计划做一下反诱捕,直接跳过隐藏属性的文件就行了,可能智量这种都会趴窝

对勒索这种文件操作,目前知乎只有锁定文件才是最可靠的;靠监控文件写操作,难免会有误报,需要厂家收集大量的白名单(有些小厂或个人出品的,估杀软公司鸟都不鸟,误报难以解除),是个麻烦事;靠诱捕文件,有时候,也真的只能对付“傻瓜病毒”。
温馨小屋
头像被屏蔽
 楼主| 发表于 2021-2-27 14:39:28 | 显示全部楼层
柯林 发表于 2021-2-27 14:35
一般的系统上都没java软件,要安装java的才能跑起来吧?我查了下自用的系统win8.1,默认没java的,要专门 ...

安装JRE即可,其实可以打个自解压包,把JRE放进去就能运行了。
柯林
发表于 2021-2-27 14:42:00 | 显示全部楼层
温馨小屋 发表于 2021-2-27 14:39
安装JRE即可,其实可以打个自解压包,把JRE放进去就能运行了。

了解,以前xp的时候,还专门装过,后来觉得一般也没啥用,也就不装;从这个角度说,这种类型的样本,还是有点小众---在一般人的机子都运行不起来,除非用bat之类去执行,是这样吧?
wwwab
发表于 2021-2-27 14:42:25 | 显示全部楼层
温馨小屋 发表于 2021-2-27 13:39
我下一个勒索样本计划做一下反诱捕,直接跳过隐藏属性的文件就行了,可能智量这种都会趴窝

那我把重要文件全部设置为隐藏,这个勒索就没有威胁了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 15:21 , Processed in 0.104803 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表