【C#从入门到入狱】自制勒索V2.0修复版

henry217

实在不好意思，因为程序代码里面有个纰漏


我把加密前的字节数组当成加密后的写进文件了。所以最终的效果就是改个名还能正常用。


经过紧急修复，这下正常了


感谢@秋日之殇 的指正

秋日之殇

卡巴占位
卡巴还是被过

a233

AhnLab V3 Lite
App Isolation Scan拦截(双击)

蓝泽祈

FSP

henry217

秋日之殇 发表于 2021-5-2 23:15
卡巴占位
卡巴还是被过

现在文件应该都废了吧

anthonyqian

诺顿解压：


关闭下载智能分析，DP + SONAR 秒杀。

1. 文件名: 自制勒索v2.0.exe
   
2. 威胁名称: SONAR.Heuristic.170完整路径: 不可用
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上
   
10. 2021/5/2 ( 23:19:51 )
    
11. 
    
12. 上次使用时间
    
13. 2021/5/2 ( 23:19:51 )
    
14. 
    
15. 启动项
    
16. 否
    
17. 
    
18. 已启动
    
19. 是
    
20. 
    
21. SONAR 主动防护监视电脑上的可疑程序活动。
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. 自制勒索v2.0.exe 威胁名称: SONAR.Heuristic.170
    
27. 定位
    
28. 
    
29. 
    
30. 极少用户信任的文件
    
31. Norton 社区中有不到 5 名用户 使用了此文件。
    
32. 
    
33. 极新的文件
    
34. 该文件已在 不到 1 周 前发行。
    
35. 
    
36. 高
    
37. 此文件具有高风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. https://bbs.kafan.cn/forum.php?mod=attachment&aid=MzIwMjI5NXxjYWY4MDdlZnwxNjE5OTY4NjExfDEyMzcyNTl8MjIwODA1NA==
    
44. 已下载文件 从 bbs.kafan.cn
    
45. 来源: 外部介质
    
46. 
    
47. 7zFM.exe
    
48. 
    
49. 
    
50. 创建的文件:
    
51. 自制勒索v2.0.exe
    
52. 
    
53. ____________________________
    
54. 
    
55. 文件操作
    
56. 
    
57. 文件: c:\Users\\downloads\ 自制勒索v2.0.exe 威胁已删除
    
58. 文件: c:\Users\\documents\ desktop.ini.henry217 威胁已删除
    
59. ____________________________
    
60. 
    
61. 网络操作
    
62. 
    
63. 事件: 已触发自动防护 (执行者 c:\users\\downloads\自制勒索v2.0.exe, PID:1176) 未采取操作
    
64. ____________________________
    
65. 
    
66. 系统设置操作
    
67. 
    
68. 事件: 浏览器进程启动 (执行者 c:\users\\downloads\自制勒索v2.0.exe, PID:3732) 未采取操作
    
69. 事件: 进程启动: c:\users\\downloads\ 自制勒索v2.0.exe, PID:3732 (执行者 c:\users\\downloads\自制勒索v2.0.exe, PID:3732) 未采取操作
    
70. 事件: 浏览器进程启动 (执行者 c:\users\\downloads\自制勒索v2.0.exe, PID:1176) 未采取操作
    
71. 事件: 进程启动: c:\users\\downloads\ 自制勒索v2.0.exe, PID:1176 (执行者 c:\users\\downloads\自制勒索v2.0.exe, PID:1176) 未采取操作
    
72. ____________________________
    
73. 
    
74. 
    
75. 文件指纹 - SHA:
    
76. 不可用
    
77. 文件指纹 - MD5:
    
78. 不可用

复制代码

秋日之殇

henry217 发表于 2021-5-2 23:19
现在文件应该都废了吧

看了......
废了！

00006666

秋日之殇 发表于 2021-5-2 23:19
看了......
废了！

组合键可能有用

henry217

anthonyqian 发表于 2021-5-2 23:19
诺顿解压：

其实还是有点依赖下载分析

我这边是编译出来的

运行之后sonar毫无反应

dp虽然弹窗但是拦截失败

文件被加密

54ss

BEST
高级威胁防护已拦截一个恶意进程。进程路径: C:\Users\ljsjo\Desktop\自制勒索V2.0.exe. 威胁名称: ATC.SuspiciousBehavior.A890B4720710A629.
加密后缀是啥？暂时未发现文件被加密