【XTH Ransom 勒索病毒 VIRUS1.20】

显示全部楼层 · 发表于 2021-5-17 17:00:49

本帖最后由 Kundows 于 2021-5-18 18:31 编辑

基于EPL编写的病毒程序 XTH Ransom 1.20
=======================================================================================
注：这是恶搞程序，建议安全环境下运行
此勒索非彼勒索，并不是加密文件，采用的是类似PETYA的方案
1，病毒查杀率
数据来自【微步云沙箱】
ESET： a variant of Win32/Kryptik.GJDY trojan
GDATA： Gen:Variant.Jaik.40139
NANO： Virus.Win32.Agent.dvixmz
瑞星（Rising）： Packer.Win32.Agent.f
K7： Trojan ( 0040f54a1 )
Avast： Win32:AutoRun-BRF
360（Qihoo 360）非恶意
江民（JiangMin）非恶意
ClamAV非恶意
金山（Kingsoft）非恶意
微软（MSE）非恶意
大蜘蛛（Dr.Web）非恶意
Baidu非恶意
AVG非恶意
Trustlook非恶意
安天（Antiy）非恶意
Baidu-China非恶意
熊猫（Panda）非恶意
卡巴斯基（Kaspersky）非恶意
开维（Kaiwei）非恶意
Sophos非恶意
小红伞（Avira）非恶意
WebShell专杀非恶意
腾讯（Tencent）非恶意
IKARUS非恶意
小结：多引擎检出率6/25≈24％
2，下载
https://wws.lanzoui.com/iDNKjp7ljuh
密码：无
3.微步云沙箱
https://s.threatbook.cn/report/f ... p1_enx86_office2013
4，运行截图

5，发作过程
以ADMIN权限启动→在C：\释放1.exe(改MBR)→运行1.exe→弹出主界面→更改系统重要注册表→当受害者输入正确密钥时（X1375-T1837-H933X）→终结1.exe→在C;\生成DG压缩包（给用户改回MBR）→退出
6，中招了怎么办？
密钥：X1375-T1837-H933X

显示全部楼层 · 发表于 2021-5-17 17:13:16

本帖最后由 yigeyouziww 于 2021-5-17 17:23 编辑

智量扫描杀一个双击后均杀

显示全部楼层 · 发表于 2021-5-17 17:19:00

360：Killed all.

显示全部楼层 · 发表于 2021-5-17 17:19:31

MES杀

显示全部楼层 · 发表于 2021-5-17 17:26:55

KES主防杀（包括一个C盘下的1.EXE）

事件: 检测到恶意对象
应用程序: 易语言程序
用户:
用户类型: 活动用户
组件: 行为检测
结果说明: 检测到
类型: 木马程序
名称: PDM:Trojan.Win32.Generic
威胁级别: 高
对象类型: 进程
对象路径: C:\Users\\Desktop
对象名称: XTH Ransom VRIUS.exe
原因: 行为分析
数据库发布日期: 2021/5/15 14:43:00
SHA256: 3AE58FBDA1E51671AE8927BF7FF481967C979C2D7C3413379384EE8C13383082
MD5: BC6325B414EF9354D033DE05010A6B89

显示全部楼层 · 发表于 2021-5-17 17:27:46

Microsoft

Trojan:Win32/Emotet!ml

显示全部楼层 · 发表于 2021-5-17 17:33:47

Emsisoft 没反应，GG

显示全部楼层 · 发表于 2021-5-17 17:55:13

AhnLab

另外一个双击

显示全部楼层 · 发表于 2021-5-17 18:00:28

Dr.web：1X

显示全部楼层 · 发表于 2021-5-17 18:44:37

好厉害啊

[病毒样本] 【XTH Ransom 勒索病毒 VIRUS1.20】

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源