楼主: henry217
收起左侧

[病毒样本] 自 制 勒 索 V4.0 全部重构!

  [复制链接]
a27573
发表于 2021-6-13 18:54:51 | 显示全部楼层
本帖最后由 a27573 于 2021-6-13 19:14 编辑
tdsskiller 发表于 2021-6-12 12:48
现在裸黑文件勒索都这么阴间了吗

连白利用都不需要了

随便写一个新的,过扫描都是轻轻松松
而且裸的勒索不考虑payload怎么进入受害者电脑,也不需要和服务器通信,行为特别少,又不好和正常程序读写文件区分,双击能不能防都是看脸

评分

参与人数 1人气 +1 收起 理由
hsks + 1 --------

查看全部评分

a27573
发表于 2021-6-13 18:59:52 | 显示全部楼层
本帖最后由 a27573 于 2021-6-13 19:17 编辑

ESET现在杀了
MSIL/Filecoder.AJC
楼主是用C#写的吗?


过了一会才反应过来“bl”是“遍历”的意思

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
henry217 + 3 版区有你更精彩: )

查看全部评分

hyx2230
发表于 2021-6-13 20:06:47 | 显示全部楼层
wwwab 发表于 2021-6-13 09:53
开了勒索诱捕吧

@henry217 你这加密的路径顺序是什么?怎么一开始就先加密了杀软的勒索诱捕文件夹,然 ...

开了勒索诱捕
北清
发表于 2021-6-13 20:27:18 | 显示全部楼层
360
好像我来晚了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
henry217
 楼主| 发表于 2021-6-13 22:33:26 | 显示全部楼层
本帖最后由 henry217 于 2021-6-13 22:35 编辑
a27573 发表于 2021-6-13 18:59
ESET现在杀了
MSIL/Filecoder.AJC
楼主是用C#写的吗?

巧了 这软件我常用
但是问题在于逆出来的代码会莫名其妙少几行,而且会给你重新起一些奇奇怪怪的变量名

至于函数名 变量名我都是随便瞎定义的 知名不见义 没啥可读性
a27573
发表于 2021-6-13 22:36:42 | 显示全部楼层
henry217 发表于 2021-6-13 22:33
巧了 这软件我常用
但是问题在于逆出来的代码会莫名其妙少几行,而且会给你重新起一些奇奇怪怪的 ...

少的那些代码可能是被编译优化掉了

henry217
 楼主| 发表于 2021-6-13 22:37:29 | 显示全部楼层
a27573 发表于 2021-6-13 22:36
少的那些代码可能是被编译优化掉了
不过我也不太确定

这倒不会
比如catch语句里面的”continue“有时会莫名消失
记录微笑
发表于 2021-6-14 01:13:56 来自手机 | 显示全部楼层
henry217 发表于 2021-6-13 22:37
这倒不会
比如catch语句里面的”continue“有时会莫名消失

如果continue后面没有代码块或者代码块无意义,编译器自动忽略该continue

评分

参与人数 1人气 +1 收起 理由
henry217 + 1 这个continue是在foreach里面的,如果没有.

查看全部评分

anthonyqian
发表于 2021-6-14 01:21:18 | 显示全部楼层
malwarebytes  Generic.Malware/Suspicious
bingkg
发表于 2021-6-14 04:12:02 | 显示全部楼层

好多软件:)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 02:40 , Processed in 0.123577 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表