自制勒索 V4.0 全部重构！

显示全部楼层 · 发表于 2021-6-13 18:54:51

本帖最后由 a27573 于 2021-6-13 19:14 编辑

tdsskiller 发表于 2021-6-12 12:48
现在裸黑文件勒索都这么阴间了吗

连白利用都不需要了

随便写一个新的，过扫描都是轻轻松松
而且裸的勒索不考虑payload怎么进入受害者电脑，也不需要和服务器通信，行为特别少，又不好和正常程序读写文件区分，双击能不能防都是看脸

显示全部楼层 · 发表于 2021-6-13 18:59:52

本帖最后由 a27573 于 2021-6-13 19:17 编辑

ESET现在杀了
MSIL/Filecoder.AJC
楼主是用C#写的吗？

过了一会才反应过来“bl”是“遍历”的意思

显示全部楼层 · 发表于 2021-6-13 20:06:47

wwwab 发表于 2021-6-13 09:53
开了勒索诱捕吧

@henry217 你这加密的路径顺序是什么？怎么一开始就先加密了杀软的勒索诱捕文件夹，然 ...

开了勒索诱捕

显示全部楼层 · 发表于 2021-6-13 20:27:18

360
好像我来晚了

显示全部楼层 · 发表于 2021-6-13 22:33:26

本帖最后由 henry217 于 2021-6-13 22:35 编辑

a27573 发表于 2021-6-13 18:59
ESET现在杀了
MSIL/Filecoder.AJC
楼主是用C#写的吗？

巧了这软件我常用

但是问题在于逆出来的代码会莫名其妙少几行，而且会给你重新起一些奇奇怪怪的变量名

至于函数名变量名我都是随便瞎定义的 ~~知名不见义没啥可读性~~

显示全部楼层 · 发表于 2021-6-13 22:36:42

henry217 发表于 2021-6-13 22:33
巧了这软件我常用
但是问题在于逆出来的代码会莫名其妙少几行，而且会给你重新起一些奇奇怪怪的 ...

少的那些代码可能是被编译优化掉了

显示全部楼层 · 发表于 2021-6-13 22:37:29

a27573 发表于 2021-6-13 22:36
少的那些代码可能是被编译优化掉了
不过我也不太确定

这倒不会
比如catch语句里面的”continue“有时会莫名消失

显示全部楼层 · 发表于 2021-6-14 01:13:56

henry217 发表于 2021-6-13 22:37
这倒不会
比如catch语句里面的”continue“有时会莫名消失

如果continue后面没有代码块或者代码块无意义，编译器自动忽略该continue

显示全部楼层 · 发表于 2021-6-14 01:21:18

malwarebytes Generic.Malware/Suspicious

显示全部楼层 · 发表于 2021-6-14 04:12:02

正在缓冲发表于 2021-6-12 11:28
果然

好多软件：）

[病毒样本] 自制勒索 V4.0 全部重构！