【C#】自制勒索5.0 再次重构欢迎双击

显示全部楼层 · 发表于 2021-8-10 13:13:20

AVG与EMSI扫描都没发现威胁，等楼下双击测试

显示全部楼层 · 发表于 2021-8-10 13:27:01

显示全部楼层 · 发表于 2021-8-10 13:30:18

本帖最后由 00006666 于 2021-8-10 13:35 编辑

360 虚拟机双击测试

在加密开始后即被主防拦截并回滚文件（点击阻止按钮后即回滚文件）

显示全部楼层 · 发表于 2021-8-10 13:35:15

本帖最后由 eternity. 于 2021-8-13 10:19 编辑

To ESET.

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 23769.

5.0.exe - MSIL/Filecoder.AKH trojan

Regards,

ESET Malware Response Team

显示全部楼层 · 发表于 2021-8-10 13:35:59

00006666 发表于 2021-8-10 13:30
360 虚拟机双击测试

在加密开始后即被主防拦截并回滚文件（点击阻止按钮后即回滚文件）

360也有加密文件回滚了吗

显示全部楼层 · 发表于 2021-8-10 13:38:10

anthonyqian 发表于 2021-8-10 13:35
360也有加密文件回滚了吗

360是有限回滚，只覆盖文档类和mp3文件。

触发主防的勒索防护才有回滚，如果仅仅是修改文档图片的拦截提示，则没有回滚。

显示全部楼层 · 发表于 2021-8-10 13:38:29

怎么感觉你的勒索的意思跟这个有点像:https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2213398&mobile=2 那个用py写的，就是先生成一个随机aes秘钥，再用固定RSA加密aes秘钥留下的勒索信

显示全部楼层 · 发表于 2021-8-10 13:53:50

我去试试

显示全部楼层 · 发表于 2021-8-10 14:12:27

本帖最后由 00006666 于 2021-8-10 14:18 编辑

anthonyqian 发表于 2021-8-10 13:35
360也有加密文件回滚了吗

在样本尝试加密文档的时候，360会自动对文档进行备份，当触发主防的勒索防护后，就会结束样本进程并将备份的文档放回原目录，其实也相当于加密文件回滚了。

重新进行了一次虚拟机测试，样本一共加密了四个文件就被主防拦截，然后这四个文件都被备份了，点击拦截窗口的阻止操作后，360就将备份的文档放回原目录。

显示全部楼层 · 发表于 2021-8-10 14:15:45

红伞kill：APC

[病毒样本] 【C#】自制勒索5.0 再次重构欢迎双击

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

[病毒样本] 【C#】自制勒索5.0 再次重构 欢迎双击

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

[病毒样本] 【C#】自制勒索5.0 再次重构欢迎双击