BAT ransomware x1

显示全部楼层 · 发表于 2022-6-24 21:15:14

anthonyqian 发表于 2022-6-24 13:09
你可以自己运行一下，不是简单的renamer

这种玩明牌而且不加密的确实不能勒索到人
解码的话certutil -decode就可以了

不过eset也没有ransom的分类，这种应该算filecoder

显示全部楼层 · 发表于 2022-6-24 21:16:47

Jirehlov1234 发表于 2022-6-24 21:15
这种玩明牌而且不加密的确实不能勒索到人
解码的话certutil -decode就可以了

本来就小白脚本名字都写在那里

但是分类为renamer显然也不合适受到波及后的文件不能通过修改后缀名正常打开。

显示全部楼层 · 发表于 2022-6-27 22:49:15

啊？不会吧，这是我好久以前的项目放着好久了，还是个半成品。
我做的这种水玩意怎么跑这来了

显示全部楼层 · 发表于 2022-6-27 22:56:18

yfh 发表于 2022-6-27 22:49
啊？不会吧，这是我好久以前的项目放着好久了，还是个半成品。
我做的这种水玩意怎么跑这来了

有人传到anyrun上了

显示全部楼层 · 发表于 2022-6-27 22:56:20

Kindle泡面板发表于 2022-6-23 11:16
双击卡巴监控杀，回滚重启后虚拟机内的文档和视频、音乐文件未被加密，但开机announcement.txt(勒索信文本) ...

certutil调用基本上是被杀软认为是危险行为了，虽然扫不出来（因为代码本身就没有危险性）但是对文件的写入修改主防是会拦截的

显示全部楼层 · 发表于 2022-6-27 22:58:19

zfc234 发表于 2022-6-23 11:24
BD Free环境运行后无拦截无文件被加密，但各个目录下生成了勒索信

没有拦截文件也没有被加密就很奇怪

显示全部楼层 · 发表于 2022-6-27 23:08:03

Jirehlov1234 发表于 2022-6-24 21:15
这种玩明牌而且不加密的确实不能勒索到人
解码的话certutil -decode就可以了

名牌是确实的，当时就没认真写

，加密肯定是能加密的，只不过用的不是正规的加密算法，只是用的一种编码。所以杀软不提供解密服务也不判定为勒索。能不能勒索的到人，也得看是什么人吧，如果是大佬的话估计够呛

显示全部楼层 · 发表于 2022-6-27 23:08:45

anthonyqian 发表于 2022-6-27 22:56
有人传到anyrun上了

好吧

显示全部楼层 · 发表于 2022-6-27 23:10:08

不过还能有杀软拦不住是我意想不到的

显示全部楼层 · 发表于 2022-8-20 10:25:30

金山毒霸拦截，最后生成勒索信，也没被加密

[病毒样本] BAT ransomware x1