自制勒索x1

显示全部楼层 · 发表于 2023-4-5 13:30:14

本帖最后由 python无名氏于 2023-4-5 13:31 编辑

网名丢失发表于 2023-4-5 13:28
不知道火绒什么时候才入库哦

已经入了

显示全部楼层 · 发表于 2023-4-5 13:33:12

python无名氏发表于 2023-4-5 13:30
已经入了

4月4日的病毒库扫描不出.

显示全部楼层 · 发表于 2023-4-5 13:34:26

网名丢失发表于 2023-4-5 13:33
4月4日的病毒库扫描不出.

那就4.5

显示全部楼层 · 发表于 2023-4-5 13:48:02

McAfee

显示全部楼层 · 发表于 2023-4-6 17:20:12

金山毒霸kill

显示全部楼层 · 发表于 2023-4-7 12:41:09

本帖最后由 aikafans 于 2023-4-7 12:42 编辑

zfc234 发表于 2023-4-4 21:14
Webroot: W32.Malware.Gen

很少能看见用webroot的哇

显示全部楼层 · 发表于 2023-4-7 16:59:16

python无名氏发表于 2023-4-5 10:10
给个建议：不要直接向原文件写入加密后内容创建一个加了加密后缀的新文件再写入被加密内容，最后删除 ...

这个算法也很容易被主防识别的

目前的勒索主流算法就是两种：
1. 直接修改源文件
2. 读取原文件创建被加密文件删除原文件
而且都是很容易就能够想到的算法

他那个是被勒索诱捕识别了，勒索诱捕是国内部分杀软在部分目录下创建一批被标记的受系统保护的隐藏文件和受系统保护的隐藏文件夹，里面放了一些用户端常规常见重要数据资料格式的诱捕文件，而且此类文件及文件夹正常程序基本上都不会去修改，如果见到有异常修改的主防直接报毒处理勒索诱捕查杀，可参考：
https://bbs.huorong.cn/thread-22817-1-1.html
https://www.zhihu.com/question/408179130/answer/1353337980

我记得火绒勒索诱捕的规则好像就是任何非系统和非自己的可信程序（火绒剑）程序对诱捕文件进行除读取之外的操作就会进行处理

你的勒索命中不了可能是因为你的勒索并没有加密或者加密到勒索诱捕文件，也或许是因为权限问题操作不了或者遍历不到隐藏文件，因为我有一次在idle试过不能保存对隐藏文件修改编辑，而易语言是不一样的肯定是可以的。。。

显示全部楼层 · 发表于 2023-4-7 18:59:24

BD旗舰：高级威胁防护阻止了一个恶意进程。进程路径: E:\下载\01 - 副本\勒索.exe. 威胁名称: ATC.SuspiciousBehavior.20A4A9D5695E424B.

显示全部楼层 · 发表于 2023-4-7 19:19:50

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2023-4-7 19:31:18

384也7492374 发表于 2023-4-7 19:19
**** 该帖被屏蔽 ****

二连了，快编辑

384也7492374 头像被屏蔽	发表于 2023-4-7 19:19:50 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
384也7492374 头像被屏蔽
	回复举报

[病毒样本] 自制勒索x1

本帖子中包含更多资源

本帖子中包含更多资源