自制勒索x1

显示全部楼层 · 发表于 2023-4-5 09:21:28

类型:木马-Win32/Ransom.Generic.HgIASBsB
描述:木马是一种伪装成正常文件的恶意软件，会盗取您的帐号、密码等隐私资料。
扫描引擎:云安全引擎
文件路径:D:\360安全浏览器下载\勒索\01 - 副本\勒索.exe
文件大小:816K (835,584 字节)
文件版本:1.0.0.0
文件描述:易语言程序
文件指纹（MD5）:84e0a2e3234914a3d7531119e55f6bf9
处理建议:隔离文件

显示全部楼层 · 发表于 2023-4-5 10:10:35

本帖最后由 python无名氏于 2023-4-5 10:12 编辑

给个建议：不要直接向原文件写入加密后内容

创建一个加了加密后缀的新文件再写入被加密内容，最后删除原文件，这样可以绕过大部分trapfile，kf就是这个原理才绕过了绕过了很多杀软的回滚

显示全部楼层 · 发表于 2023-4-5 12:30:54

python无名氏发表于 2023-4-5 10:10
给个建议：不要直接向原文件写入加密后内容创建一个加了加密后缀的新文件再写入被加密内容，最后删除 ...

我就是这么做的

显示全部楼层 · 发表于 2023-4-5 12:32:58

研究专家发表于 2023-4-5 12:30
我就是这么做的

so,火绒是咋了

易语言读取文件RatTrap通杀？

显示全部楼层 · 发表于 2023-4-5 12:35:40

python无名氏发表于 2023-4-5 12:32
so,火绒是咋了易语言读取文件RatTrap通杀？

应该是改了反勒索文件，不开勒索诱捕应该就miss了

显示全部楼层 · 发表于 2023-4-5 12:40:04

研究专家发表于 2023-4-5 12:35
应该是改了反勒索文件，不开勒索诱捕应该就miss了

那个kf勒索，有个人hips拉满，开启Trapfile还是miss，莫非是入库了？

显示全部楼层 · 发表于 2023-4-5 12:46:14

python无名氏发表于 2023-4-5 12:40
那个kf勒索，有个人hips拉满，开启Trapfile还是miss，莫非是入库了？

我是加密c盘内所有文件

显示全部楼层 · 发表于 2023-4-5 12:47:26

研究专家发表于 2023-4-5 12:46
我是加密c盘内所有文件

我的会获取所有盘符，然后把系统盘替换成用户目录

显示全部楼层 · 发表于 2023-4-5 12:49:07

python无名氏发表于 2023-4-5 12:47
我的会获取所有盘符，然后把系统盘替换成用户目录

所以可以绕过勒索诱捕，我现在搞一个2.0

显示全部楼层 · 发表于 2023-4-5 13:28:12

不知道火绒什么时候才入库哦

[病毒样本] 自制勒索x1