对特定企业的针对性勒索与部分杀软的测试

Jirehlov1234

发测试区估计没人看吧，就发大区好了

样本为IndustrialSPY勒索，来自vxvault的站长siri_urz，因为是针对特定企业的，所以样本不公开。问他要来玩了一下。测试结果如下。

因为
1. 测试过程并不是该样本的真实世界攻击模式；
2. 样本不是0day的，已经至少存在48小时以上；
所以结果仅供娱乐，不能提供横向参考。



1. Kaspersky Endpoint Security

双击触发PDM:Trojan.Win32.Generic，没有文件被加密

（截图丢失）

半小时后双击触发VHO云杀



2. 360安全卫士

双击触发拦截修改特殊文件
进程：
动作：写入
路径：C:\Users\Jirehlov\AppData\Local\GitHubDesktop\app-3.0.4\resources\app\git\mingw64\libexec\git-core\Atlassian.Bitbucket.UI.exe.config
不再提醒(0x62ecc2eb)
防护信息: FD|10, 70, -1||

但被加密了1w+文件仍没有其他反应。

五分钟后二次双击已经被拉黑



3. 火绒5.0

双击被启发结束战斗


4. 智量

双击主防杀，成功防御
（因为我是7zip直接双击的exe，把我7zip的进程也给结束了。。）


5. ESET Internet Security

双击文件特征击杀，并且给出了准确的家族名


6. 腾讯电脑管家

双击报勒索，阻止后防御成功，允许后防御失败


7. Avast Free Antivirus

双击cc杀，成功防御


8. F-Secure

双击DG杀，成功防御


9. Avira Free Security

双击，成功防御，并要求重启



10. Bitdefender Total Security

双击成功防御


11. Symantec Endpoint Protection

双击防御失败


12. Malwarebytes for Teams

双击成功防御，精确分类


13. McAfee Endpoint Security

双击月神杀

overlay之后双击miss，防御失败

14. Microsoft Windows Security
个人版双击miss，防御失败



IoCs

34A39EBA0A5BBB10912066747BA252AF

kuroandsan

还有后续测试吗，想看看bd的（不是


话说CC居然起作用了，难得

qquccs

sep呢？

anthonyqian

测测F-Secure

Jirehlov1234

kuroandsan 发表于 2022-8-5 08:34
还有后续测试吗，想看看bd的（不是

BD测了，扫描就能杀
破BD更新慢死个人

Jirehlov1234

00006666 发表于 2022-8-5 09:00
如果这个勒索病毒会加密文档，你把我发的附件里面的文档下载解压，放在测试目录，然后再试试360会不会拦截
...

doc加密的，但是不改后缀。overlay之后测360依然无反应。
核晶当然开了。不过讲道理360团队版更合理，毕竟是企业的毒。

Jirehlov1234

anthonyqian 发表于 2022-8-5 08:54
测测F-Secure

DG发威了