当你把坛友的Java勒索样本混淆后...

显示全部楼层 · 发表于 2022-1-12 11:02:32

360入库了

显示全部楼层 · 发表于 2022-1-12 11:03:11

heavencc 发表于 2022-1-12 11:02
360入库了

昨天晚上就上报了

显示全部楼层 · 发表于 2022-1-12 11:57:21

还要装java环境，这种适合服务器或者开发者电脑，不对服务器也不行，现在普遍还是jdk8

显示全部楼层 · 发表于 2022-1-12 12:05:25

本帖最后由 ikochina 于 2022-1-12 13:07 编辑

微点测试：运行无提示，桌面建立key，慢慢等着
30分钟后查看，发现虚拟机卡死无反应，无文件加密，重启正常。
安天杀毒个人版测试（个人版无实时监控，但有防勒索模块）：运行无提示，桌面建立key，慢慢等着，jdk磁盘占用最高达到33兆每秒，20分钟后所有文件被加密
费尔测试：设置文件陷阱
大约5分钟后弹出文件陷阱被触发，病毒已清除，实际上是吧jdk文件删除了，且文件陷阱删除无备份，隔离管理器也找不到，而是直接删除，样本文件仍然在，无文件加密

费尔测试：不设置文件陷阱，被过了

费尔总结：防勒索还是得靠文件陷阱啊

显示全部楼层 · 发表于 2022-1-12 15:15:00

ikochina 发表于 2022-1-12 10:23
好奇怪，楼主链接的jdk安装好，运行报错，10楼的jdk11安装好运行无任何反应（样本文件有图标，大蜘蛛没有任 ...

这个病毒不是从桌面开始加密的，整个C盘都会被加密，不会上来就加密桌面的，13M的读写速度可能说明你的电脑实在太慢了，这种加密全盘的DPH可以拦截，只加密用户文件夹的就漏了，而且样本没有添加启动的行为，那个是误报。

显示全部楼层 · 发表于 2022-1-12 15:15:51

DF快递发表于 2022-1-12 11:57
还要装java环境，这种适合服务器或者开发者电脑，不对服务器也不行，现在普遍还是jdk8

到时候捆绑一个java环境就可以了，只是文件大一点而已，不妨碍运行

显示全部楼层 · 发表于 2022-1-12 15:17:23

ikochina 发表于 2022-1-12 12:05
微点测试：运行无提示，桌面建立key，慢慢等着
30分钟后查看，发现虚拟机卡死无反应，无文件加密，重启正 ...

虚拟机卡死是微点性能太烂了吧，一直卡文件读写，病毒都没跑成功

显示全部楼层 · 发表于 2022-1-12 17:38:37

syswow64 发表于 2022-1-12 15:15
到时候捆绑一个java环境就可以了，只是文件大一点而已，不妨碍运行

太大了，几个mb可能会有人顺手点开，几百mb的，都懒得下载了

显示全部楼层 · 发表于 2022-1-12 18:44:51

aiqinghe 发表于 2022-1-11 22:35
KES11.7
扫描miss
双击PDM主防杀，没发现勒索残留防御成功

主防都是玄学有时卡巴发威，有时BD拦截

显示全部楼层 · 发表于 2022-1-12 18:57:26

kes拦截

[病毒样本] 当你把坛友的Java勒索样本混淆后...

本帖子中包含更多资源