增强版白加黑样本，基本全过杀软，改文件名而非拓展名的勒索见过吗？

显示全部楼层 · 发表于 2022-2-18 15:41:34

秋天月亮圆圆圆发表于 2022-2-18 15:36
其实我想说的是，我不知道我电脑上其他文件有没有被加密，怎么看？

用everything搜索

.coffee.

复制代码

看起来这个样本加密前缀都带有这个字符串

显示全部楼层 · 发表于 2022-2-18 15:42:38

Eset小粉絲发表于 2022-2-18 15:41
加密后辍是啥？有点乱，看不太出来。。。

https://bbs.kafan.cn/forum.php?m ... amp;fromuid=1068458

没后缀，有前缀···前缀似乎是.coffee.+随机的四位长字符串

显示全部楼层 · 发表于 2022-2-18 15:44:01

BE_HC 发表于 2022-2-18 15:39
HMPA不是默认V5的吗，可能是我虚拟机文件太少了还是怎么的，没拦截

应该不是文件多少的问题，有可能是WIN7的问题，试试win10

显示全部楼层 · 发表于 2022-2-18 15:45:00

swizzer 发表于 2022-2-18 15:42
https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2227601&pid=50433209&fromuid=106845 ...

那些被“加密”的文件，无法正常打开了吗？

显示全部楼层 · 发表于 2022-2-18 15:46:12

本帖最后由 swizzer 于 2022-2-18 15:49 编辑

Eset小粉絲发表于 2022-2-18 15:45
那些被“加密”的文件，无法正常打开了吗？

编辑，又测试了一次，确认无法打开。
@Eset小粉絲

显示全部楼层 · 发表于 2022-2-18 15:47:21

本帖最后由 NICO-COOPER 于 2022-2-18 17:17 编辑

测试一：SecureAPlus+HMPA
解压后，SecureAPlus本地apex引擎 kill csrts.exe，此时双击所有ink均无反应

手动允许后，双击其中一个ink，弹出虚假报错，但此时未加密。几乎同时，glasswire检测到一个updater进程发出联网请求（PS：该进程VT只有SecureAPlus的apex引擎报毒，但虚拟机上的apex引擎未报毒）具体情况如图：

稍后重新双击另外一个ink，此时才看到了姗姗来迟的加密通知和被加密文件。全程HMPA无反应

测试二：Emsisoft双击miss，BB毫无反应，但是加密似乎有疏漏，文档目录下的txt和用户目录下的dat均未加密。

显示全部楼层 · 发表于 2022-2-18 15:48:47

瑞星之剑杀

显示全部楼层 · 发表于 2022-2-18 15:51:46

Eset小粉絲发表于 2022-2-18 15:45
那些被“加密”的文件，无法正常打开了吗？

补充一个发现，样本加密的文件类型似乎很不全面，在我这里并未加密.png和.7z格式的文件

显示全部楼层 · 发表于 2022-2-18 15:52:25

秋天月亮圆圆圆发表于 2022-2-18 15:45
用电脑自带的搜索行不

搜的比较慢，但不是不行

显示全部楼层 · 发表于 2022-2-18 15:54:17

[病毒样本] 增强版白加黑样本，基本全过杀软，改文件名而非拓展名的勒索见过吗？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源