搜索
楼主: Loyisa
收起左侧

[病毒样本] 当你把坛友的Java勒索样本混淆后...

  [复制链接]
heavencc
发表于 2022-1-12 11:02:32 | 显示全部楼层
360入库了
00006666
发表于 2022-1-12 11:03:11 | 显示全部楼层

昨天晚上就上报了
DF快递
发表于 2022-1-12 11:57:21 | 显示全部楼层
还要装java环境,这种适合服务器或者开发者电脑,不对服务器也不行,现在普遍还是jdk8
ikochina
头像被屏蔽
发表于 2022-1-12 12:05:25 | 显示全部楼层
本帖最后由 ikochina 于 2022-1-12 13:07 编辑

微点测试:运行无提示,桌面建立key,慢慢等着
30分钟后查看,发现虚拟机卡死无反应,无文件加密,重启正常。
安天杀毒个人版测试(个人版无实时监控,但有防勒索模块):运行无提示,桌面建立key,慢慢等着,jdk磁盘占用最高达到33兆每秒,20分钟后所有文件被加密
费尔测试:设置文件陷阱
大约5分钟后弹出文件陷阱被触发,病毒已清除,实际上是吧jdk文件删除了,且文件陷阱删除无备份,隔离管理器也找不到,而是直接删除,样本文件仍然在,无文件加密

费尔测试:不设置文件陷阱,被过了

费尔总结:防勒索还是得靠文件陷阱啊


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
syswow64
发表于 2022-1-12 15:15:00 | 显示全部楼层
ikochina 发表于 2022-1-12 10:23
好奇怪,楼主链接的jdk安装好,运行报错,10楼的jdk11安装好运行无任何反应(样本文件有图标,大蜘蛛没有任 ...

这个病毒不是从桌面开始加密的,整个C盘都会被加密,不会上来就加密桌面的,13M的读写速度可能说明你的电脑实在太慢了,这种加密全盘的DPH可以拦截,只加密用户文件夹的就漏了,而且样本没有添加启动的行为,那个是误报。
syswow64
发表于 2022-1-12 15:15:51 | 显示全部楼层
DF快递 发表于 2022-1-12 11:57
还要装java环境,这种适合服务器或者开发者电脑,不对服务器也不行,现在普遍还是jdk8

到时候捆绑一个java环境就可以了,只是文件大一点而已,不妨碍运行
syswow64
发表于 2022-1-12 15:17:23 | 显示全部楼层
ikochina 发表于 2022-1-12 12:05
微点测试:运行无提示,桌面建立key,慢慢等着
30分钟后查看,发现虚拟机卡死无反应,无文件加密,重启正 ...

虚拟机卡死是微点性能太烂了吧,一直卡文件读写,病毒都没跑成功
DF快递
发表于 2022-1-12 17:38:37 | 显示全部楼层
syswow64 发表于 2022-1-12 15:15
到时候捆绑一个java环境就可以了,只是文件大一点而已,不妨碍运行

太大了,几个mb可能会有人顺手点开,几百mb的,都懒得下载了
Eunismal
发表于 2022-1-12 18:44:51 | 显示全部楼层
aiqinghe 发表于 2022-1-11 22:35
KES11.7
扫描miss
双击PDM主防杀,没发现勒索残留 防御成功

主防都是玄学有时卡巴发威,有时BD拦截
比卡诺微
发表于 2022-1-12 18:57:26 | 显示全部楼层
kes拦截
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-5-19 21:08 , Processed in 0.100739 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表