golang写了一个简单的勒索软件

显示全部楼层 · 发表于 2021-9-16 23:55:24

anthonyqian 发表于 2021-9-16 23:52
5楼有人测了双击了

那时候估计都没人上传吧，那个是看主防。云响应得看双击啊，很多拉黑要双击才知道。卡巴有些样本也开始需要双击才能知道拉黑了

显示全部楼层 · 发表于 2021-9-17 00:09:49

54ss 发表于 2021-9-16 23:55
那时候估计都没人上传吧，那个是看主防。云响应得看双击啊，很多拉黑要双击才知道。卡巴有些样本也开始需 ...

BD云拉黑扫描就知道了，没怎么看过要双击才会触发云杀的情况。。。你说的“很多拉黑要双击才知道”可能是已经存在缓存的关系，扫描阶段跳过了这个文件。不管怎么说，BD没防住。

显示全部楼层 · 发表于 2021-9-17 00:18:58

54ss 发表于 2021-9-16 23:55
那时候估计都没人上传吧，那个是看主防。云响应得看双击啊，很多拉黑要双击才知道。卡巴有些样本也开始需 ...

卡巴，有些样本就是只通过web防御模块或者邮件防御模块检测，扫描不报是正常的。

显示全部楼层 · 发表于 2021-9-17 01:19:46

秋日之殇发表于 2021-9-17 00:18
卡巴，有些样本就是只通过web防御模块或者邮件防御模块检测，扫描不报是正常的。

双击后云杀的报法哦，不是其他的报法捏，样本区找找还是能看到例子的吧

显示全部楼层 · 发表于 2021-9-17 01:20:12

anthonyqian 发表于 2021-9-17 00:09
BD云拉黑扫描就知道了，没怎么看过要双击才会触发云杀的情况。。。你说的“很多拉黑要双击才知道”可能是 ...

那你双击的不多

显示全部楼层 · 发表于 2021-9-17 01:26:24

本帖最后由 anthonyqian 于 2021-9-17 01:27 编辑

54ss 发表于 2021-9-17 01:20
那你双击的不多

BD双击云杀的报法是怎么样的呢？是SuspiciousBehavior.XXXX还是Gen:Suspicious.Cloud？

显示全部楼层 · 发表于 2021-9-17 08:17:10

本帖最后由 00006666 于 2021-9-17 08:21 编辑

忆往昔° 发表于 2021-9-16 22:18
估计是这样，我用极速版也是100%拦截

刚刚我用早期版本的极速版来测试了下，也是没有拦截……

，普通版好像已经很久没有更新了，应该也不能拦截。

用最新版的360极速版来测试，拦截率确实是100%，两个版本的样本在我虚拟机里面测试多次都是成功拦截的，没有任何文件被加密。

，每次都是回滚4个文件，其他的都是原始文件还在桌面上，不需要回滚。

应该是最新的极速版加强了主防的勒索防护，比之前的版本拦截成功率高了很多。

显示全部楼层 · 发表于 2021-9-17 08:53:39

54ss 发表于 2021-9-17 01:19
双击后云杀的报法哦，不是其他的报法捏，样本区找找还是能看到例子的吧

云拉黑的话，直接看ksn信誉就是了，也不用双击

显示全部楼层 · 发表于 2021-9-17 10:59:17

本帖最后由 fscs520 于 2021-9-17 11:01 编辑

卡巴，WD,解压即删除

,添加到排除项,双击后,桌面的文件全部加密,分区保存的文件没有加密

[病毒样本] golang写了一个简单的勒索软件