自制加密勒索（第四版第二例）

AEht

这代样本是混淆第四代代码得到的结果，杀软的表现让我吃惊，特此上传给各位饭友分析。
前面有废话，想快速测样本的直接往下滑看“重点：”。


前情提要（废话）：
看到卡巴侧漏rootkit后，杀软综合征犯了。

看到symantec能机学杀于是打算玩玩，
去那个板块问了问饭友们（https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2256512）
找到老旧病毒与老旧病毒库试了试雀食感觉不错，
于是我打算把前段时间我发布的测试用简易勒索混淆一下让它试试，
结果symantec畅通无阻，因为诺顿也防不了也没有DP也算是意料之内。
我在那个帖子做出总结：卡巴主防虽会漏，但防勒索强。赛门铁克机学强但防勒索一言难尽。
我抱着必胜的心态去试了试卡巴，结果把我惊掉了下巴。
PDM像睡着了一样，卡巴畅通无阻！过了半天才反应过来。我想不通为什么把代码混淆一下会有这样的魔力。
特此分享此第四版第二例，给各位饭友分析。
因为上次我刚传出样本不过3分钟就有人给我上传到VT上去了，这次我把权限拉高点。
不求绝对不上报（可以连云，可以杀软自动入沙等），只求不要人为上报！


重点：
结果symantec畅通无阻，因为诺顿也防不了也没有DP也算是意料之内。
PDM像睡着了一样，卡巴畅通无阻！PDM过了许久才反应过来我想不通为什么把代码混淆一下会有这样的魔力。
不求绝对不上报（可以连云，可以杀软自动入沙等），只求不要人为上报！
深度启发报了一次VHO，卡巴很快应该就会入库了。
如果你那边还没拉黑，可以试一试

https://wwwc.lanzoub.com/iW5n30xlaqri压缩包密码infected，非win10x64运行可能会报错。(免责声明：请勿实体机运行，仅供测试，后果自行承担！)


就交给卡饭网友了

aphtc

eset kill  看右下角 断网测试
测试完删除文件 清空回收站 恢复网络

GDHJDSYDH

KFA 21.3 扫描miss，看样子目前还没有拉黑

hhhq316

EMSI

GreatMOLA

Norton
加密1 735个文件后DP杀
常见类型文件未加密

独赢缠身

360  云QVM报勒索，AVG扫描  miss

发呆的阿狸~

GreatMOLA 发表于 2023-5-29 14:13
Norton
加密1 735个文件后DP杀
常见类型文件未加密

请问DP杀是什么意思?DP不是阻止操作么难道持续触发DP会让DP直接隔离源文件?

安静的Snow

Avira 扫描miss

GreatMOLA

发呆的阿狸~ 发表于 2023-5-29 14:18
请问DP杀是什么意思?DP不是阻止操作么难道持续触发DP会让DP直接隔离源文件?

加密到1 735个文件后就进程就没了。

761773275

SOPHOS

1. C:\Users\Leung\Desktop\ifhunxiao.exe 中的勒索软件已阻止

复制代码