一枚简单的土制炸弹

风雷max

更新
制作了一个还原程序，把勒索信拖到上面就能解密了

没有勒索信？
可我也没有办法，我忘记把后缀名保存起来了，没勒索信的文件名单我不好恢复啊......要不再勒索一遍？
这个程序不会还原没被加密的东西，所以可以用来验证勒索究竟成功没......



--- 原文 ---

花了两个小时写出来的很土很土的土制炸弹，虚拟机里面的Avast（没联网的）没反应就发出来看看。
因为一切从简，所以是个长得有点像玩笑程序的勒索程序
具体行为只是加密所有文档之后释放一个程序把原来的文档删掉
甚至连权限都没要可能是最辣鸡的病毒了吧，在某些路径连运行都运行不了
所以有时候原来的文档还删不掉2333
没做特殊判断，应该会被杀软的诱饵检测到
加密后缀名是.uvu_checksum
勒索信是个很简陋的txt，连桌面都懒得放了直接原地生成在程序旁边
（连个联系方式都没留的勒索信，但是会告诉你尝试加密了哪些文件）

请不要实机运行！
请不要实机运行！
请不要实机运行！

因为我没做解密部分-_-

测试后就可以上报对应杀软了，不知道会不会把我这个简陋程序当成病毒检测

UNknownOoo

火绒
扫描：MISS
双击：寄

在被加密2000+个文件后勒索诱捕反应，然而文件已经寄了

病毒名称：Ransom/Rattrap.A
病毒路径：C:\Users\Administrator\Desktop\kafan_homemade_bombs.exe
操作结果：已处理


HPMA
双击：寄

莒县小哥

风雷max

UNknownOoo 发表于 2023-5-9 13:15
火绒
扫描：MISS
双击：寄

其实拦截的早的话可能只是生成了垃圾，因为我写的是先全部加密好再删除，可能源文件并没有删除

斩风123

卡巴   miss    双击无异常    实机测

UNknownOoo

风雷max 发表于 2023-5-9 13:24
其实拦截的早的话可能只是生成了垃圾，因为我写的是先全部加密好再删除，可能源文件并没有删除

又看了一下，确实...

GreatMOLA

Norton
自动防护

Heur.AdvML.B


关闭SONAR与文件系统实时防护，仅开启Data Protector后执行。
加密201个文件后DP拦截。

重新开启自动防护后删除所有被加密的文件与本体（非SONAR），Norton经典操作...

往生全凭佛接引

智量MSE360   miss   双击无异常

火绒工程师

UNknownOoo 发表于 2023-5-9 13:15
火绒
扫描：MISS
双击：寄

来了来了，卡饭的样本都一直在有搜集哦~

WeeVee

卡巴运行后虽然检测到了，但还是被加密，源文件也没有了。

1. 事件: 检测到恶意对象
   
2. 应用程序: kafan_homemade_bombs.exe
   
3. 用户: Win202304121716\Administrator
   
4. 用户类型: 发起者
   
5. 组件: 系统监控
   
6. 结果说明: 检测到
   
7. 类型: 木马
   
8. 名称: PDM:Trojan.Win32.Generic
   
9. 威胁级别: 高
   
10. 对象类型: 进程
    
11. 对象路径: C:\Users\Administrator\Desktop\辅助工具
    
12. 对象名称: kafan_homemade_bombs.exe
    
13. 原因: 行为分析
    
14. 数据库发布日期: 2023/5/3 22:00:00
    
15. MD5: 23E2325F32281A4B7AE1B831BF0F93B9

复制代码