用powershell加密的勒索软件

QVM360

11f4252eb95a7e0bfbef4d8e3da93450abf2bbb9b97b93f49aa28cbb76dc1158.zip - 蓝奏云 (lanzoue.com)
Interactive Online Malware Analysis Sandbox - ANY.RUN

用powershell的AESCrypt函数加密，活久见

优秀双击贴有奖励（明天起床后加分）

按照联系方式给他发了个邮件以“寻求帮助”，看看他会回什么

QVM360

最新消息他回我了，还有这个yuhen似乎是亚洲地区的名字，有可能对面也是中国人
注意看一楼的图片，被勒索后的桌面壁纸，上面有个"All issues on your device"感觉有点中式英语的味道


他给我发的解密程序，但是有密码，也就是说只需要运行这个解密程序就可以解密，说明他有可能是AES对称加密，不需要本机存放的私钥

ANY.LNK

微软：解压机器学习Trojan:Win32/Wacatac.H!ml

1073328164

卡巴斯基 kill
事件: 检测到恶意对象
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: UDS:Trojan.Win64.Agent
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: locksystem.exe
对象路径: D:\
对象的 MD5: F3C7CC02BF76362489B0FE8C35A9865C
原因: 云保护

wuming_bpnes

我有上将BD，可斩此“毒”
双击后秒拦截 啥都没加密到



What can i say, 蜘蛛out（话说这个勒索的实现方式算注入吗？）




Sophos：我起了，一枪秒了，有什么好说的
只有桌面文件被加密，但是有回滚问题不大。

DisaPDB

360 PowerShell内容识别

1. Powershell  -ExecutionPolicy Bypass -win hidden -e
   
2. $command=gc $env:tmp\\MicrosoftServiceCreation.ps1
   
3. [Text.Encoding]::Unicode.GetString([Convert]::FromBase64String($command)) | iex

复制代码

1. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -executionpolicy bypass -win hidden -c echo I Am Running

复制代码

全进程链所有行为均可拦截。

dght432

ESET


瑞星剑没拦住

hansyu

McAfee
ti!11F4252EB95A

Komeiji-Reimu

卡巴斯基扫描杀
测试PDM，运行之后再开启防护
kill，什么都没跑起来


-------
火绒扫描miss

双击拦截了个常规的Hips点

允许之后文件被加密，勒索诱捕无用


好拉啊火绒，以后都懒得测了
-----------

Avast free

由于小a扫描杀，所以运行起来之后再测
勒索保护 阻止


这个界面之前测勒索病毒从来没有见过，桌面的文档没有被加密，只是背景被更换

----------

冰盾
单步Hips

(什么年代了卡饭上传图片还有500k限制？？？？)




默认规则(无文件网络攻击）


用规则保护文档文件




更换背景

00006666

Komeiji-Reimu 发表于 2024-7-10 08:25
卡巴斯基扫描杀
测试PDM，运行之后再开启防护
kill，什么都没跑起来

火绒的勒索诱捕是不拦截这些所谓的白程序的，无论是注入白程序来加密，或者这些脚本程序，它运行起来火绒都不拦截

wwwab

00006666 发表于 2024-7-10 08:46
火绒的勒索诱捕是不拦截这些所谓的白程序的，无论是注入白程序来加密，或者这些脚本程序，它运行起来火绒 ...

火绒的勒索诱捕文件白程序动了也会杀
你用excel修改了勒索诱捕文件内容，kill excel.exe：

你用wps修改了勒索诱捕文件内容，kill wps.exe：


因为火绒的勒索诱捕文件夹属性设置为隐藏文件属性+受系统保护的隐藏文件属性，并且里面都是一些常规的文档等文件格式，所以默认是不会有程序动这些东西的

只是勒索跳过了勒索诱捕文件或者没有加密勒索诱捕文件