增强版白加黑样本，基本全过杀软，改文件名而非拓展名的勒索见过吗？

显示全部楼层 · 发表于 2022-2-18 13:35:19

本帖最后由？！于 2022-2-19 16:37 编辑

与之前相比，除了exe和dll都设置了隐藏属性之外（解压后要在文件夹选项中取消隐藏受保护的系统文件才能看到），几个伪装文档的lnk指向目标在explorer.exe后面的具体路径被隐藏了。
exe数字签名显示其属于广州视睿电子科技有限公司，且该签名有效，因此没有签名但声称为微软系统文件的dll极有可能为恶意文件，这也是之前白加黑的一贯套路（exe为白，dll为黑）。

目前已知信息整合：
1.样本确认为毒，多家杀软被过且文件被加密，该样本主要加密文件前缀，VT上对exe和dll的单独检测几乎都是0报。
2.该家族样本已经于1月开始流行，详见https://bbs.360.cn/thread-16021756-1-1.html。
3.从360论坛下的评论可以推断出该样本可能是新版的变种，且dll文件编译时间被故意设置成2072年用来反追踪。
4.该样本连接了动态ip，不排除样本本身无恶意代码，而是从网络上下载恶意代码或联网修改了自身代码来达到勒索效果这种可能性，因为这能确保自身样本难被检测出来。

另：看了那解密流程很难不让人流汗黄豆，，，
勒索信/解密流程地址：http://help.none.sbs.ipns.cf-ipfs.com/help.pdf
样本给出的解密工具：https://wwa.lanzouv.com/iLfC3009llcj

显示全部楼层 · 发表于 2022-2-18 13:42:07

本帖最后由 Solomondemeter 于 2022-2-18 13:46 编辑

解压以后，exe文件自动隐藏，eset扫描以后也是miss。

显示全部楼层 · 发表于 2022-2-18 13:43:16

安天&瑞星missall

显示全部楼层 · 发表于 2022-2-18 13:46:41

bd miss all

显示全部楼层 · 发表于 2022-2-18 13:51:16

本帖最后由 761773275 于 2022-2-18 14:10 编辑

Sophos XDR 主防杀

执行通知公告里面的EXE后释放会updater.exe，一会主防杀，提示勒索软件
根本原因分析：

显示全部楼层 · 发表于 2022-2-18 14:02:07

本帖最后由 anthonyqian 于 2022-2-18 14:27 编辑

F-S DeepGuard 拦截。

重启电脑又双击了一次，现在DeepGuard 拦截衍生物，报勒索。

显示全部楼层 · 发表于 2022-2-18 14:03:50

crowdstrike miss 虽然但是，好像没运行起来

显示全部楼层 · 发表于 2022-2-18 14:04:59

LeeHS 发表于 2022-2-18 14:03
crowdstrike miss 虽然但是，好像没运行起来

运行了，不过运行结果会提醒你运行失败，造成假崩溃现象

显示全部楼层 · 发表于 2022-2-18 14:06:20

761773275 发表于 2022-2-18 13:51
Sophos XDR 主防杀

我解压到文件夹里就找不到可执行exe文件了，这边是再压缩包里就直接点开exe？

显示全部楼层 · 发表于 2022-2-18 14:06:35

LeeHS 发表于 2022-2-18 14:03
crowdstrike miss 虽然但是，好像没运行起来

F-S 是显示了运行错误的弹窗点确定后马上拦截了exe

[病毒样本] 增强版白加黑样本，基本全过杀软，改文件名而非拓展名的勒索见过吗？

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源