查看: 1891|回复: 40
收起左侧

[病毒样本] 用powershell加密的勒索软件

  [复制链接]
QVM360
发表于 2024-7-10 02:16:56 | 显示全部楼层 |阅读模式
本帖最后由 QVM360 于 2024-7-10 02:42 编辑

11f4252eb95a7e0bfbef4d8e3da93450abf2bbb9b97b93f49aa28cbb76dc1158.zip - 蓝奏云 (lanzoue.com)
Interactive Online Malware Analysis Sandbox - ANY.RUN

用powershell的AESCrypt函数加密,活久见

优秀双击贴有奖励(明天起床后加分)

按照联系方式给他发了个邮件以“寻求帮助”,看看他会回什么



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
QVM360
 楼主| 发表于 2024-7-12 00:52:34 | 显示全部楼层
本帖最后由 QVM360 于 2024-7-12 00:59 编辑

最新消息他回我了,还有这个yuhen似乎是亚洲地区的名字,有可能对面也是中国人
注意看一楼的图片,被勒索后的桌面壁纸,上面有个"All issues on your device"感觉有点中式英语的味道


他给我发的解密程序,但是有密码,也就是说只需要运行这个解密程序就可以解密,说明他有可能是AES对称加密,不需要本机存放的私钥




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ANY.LNK
发表于 2024-7-10 03:12:41 | 显示全部楼层
微软:解压机器学习Trojan:Win32/Wacatac.H!ml
1073328164
发表于 2024-7-10 03:53:36 | 显示全部楼层
卡巴斯基 kill
事件: 检测到恶意对象
应用程序名称: explorer.exe
应用程序路径: C:\Windows
组件: 文件反病毒
结果说明: 检测到
类型: 木马
名称: UDS:Trojan.Win64.Agent
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: locksystem.exe
对象路径: D:\
对象的 MD5: F3C7CC02BF76362489B0FE8C35A9865C
原因: 云保护
wuming_bpnes
发表于 2024-7-10 04:00:45 | 显示全部楼层
本帖最后由 wuming_bpnes 于 2024-7-10 04:56 编辑

我有上将BD,可斩此“毒”
双击后秒拦截 啥都没加密到



What can i say, 蜘蛛out(话说这个勒索的实现方式算注入吗?)




Sophos:我起了,一枪秒了,有什么好说的
只有桌面文件被加密,但是有回滚问题不大。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +15 收起 理由
QVM360 + 15 感谢解答: )

查看全部评分

DisaPDB
发表于 2024-7-10 07:03:05 | 显示全部楼层
本帖最后由 DisaPDB 于 2024-7-10 07:19 编辑

360 PowerShell内容识别

  1. Powershell  -ExecutionPolicy Bypass -win hidden -e
  2. $command=gc $env:tmp\\MicrosoftServiceCreation.ps1
  3. [Text.Encoding]::Unicode.GetString([Convert]::FromBase64String($command)) | iex
复制代码
  1. C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"  -executionpolicy bypass -win hidden -c echo I Am Running
复制代码


全进程链所有行为均可拦截。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +5 收起 理由
QVM360 + 5 1

查看全部评分

dght432
发表于 2024-7-10 07:23:39 | 显示全部楼层
本帖最后由 dght432 于 2024-7-10 07:31 编辑

ESET


瑞星剑没拦住



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +5 收起 理由
QVM360 + 5 版区有你更精彩: )

查看全部评分

hansyu
发表于 2024-7-10 07:50:20 | 显示全部楼层
McAfee
ti!11F4252EB95A
Komeiji-Reimu
发表于 2024-7-10 08:25:37 | 显示全部楼层
本帖最后由 Komeiji-Reimu 于 2024-7-10 09:40 编辑

卡巴斯基扫描杀
测试PDM,运行之后再开启防护
kill,什么都没跑起来


-------
火绒扫描miss

双击拦截了个常规的Hips点

允许之后文件被加密,勒索诱捕无用


好拉啊火绒,以后都懒得测了
-----------

Avast free

由于小a扫描杀,所以运行起来之后再测
勒索保护 阻止


这个界面之前测勒索病毒从来没有见过,桌面的文档没有被加密,只是背景被更换

----------

冰盾
单步Hips

(什么年代了卡饭上传图片还有500k限制????)




默认规则(无文件网络攻击)


用规则保护文档文件




更换背景


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +20 收起 理由
QVM360 + 20 感谢支持,欢迎常来: )

查看全部评分

00006666
发表于 2024-7-10 08:46:10 | 显示全部楼层
Komeiji-Reimu 发表于 2024-7-10 08:25
卡巴斯基扫描杀
测试PDM,运行之后再开启防护
kill,什么都没跑起来

火绒的勒索诱捕是不拦截这些所谓的白程序的,无论是注入白程序来加密,或者这些脚本程序,它运行起来火绒都不拦截

评分

参与人数 1人气 +1 收起 理由
QVM360 + 1 版区有你更精彩: )

查看全部评分

wwwab
发表于 2024-7-10 08:57:03 | 显示全部楼层
本帖最后由 wwwab 于 2024-7-10 09:30 编辑
00006666 发表于 2024-7-10 08:46
火绒的勒索诱捕是不拦截这些所谓的白程序的,无论是注入白程序来加密,或者这些脚本程序,它运行起来火绒 ...

火绒的勒索诱捕文件白程序动了也会杀
你用excel修改了勒索诱捕文件内容,kill excel.exe:

你用wps修改了勒索诱捕文件内容,kill wps.exe:


因为火绒的勒索诱捕文件夹属性设置为隐藏文件属性+受系统保护的隐藏文件属性,并且里面都是一些常规的文档等文件格式,所以默认是不会有程序动这些东西的

只是勒索跳过了勒索诱捕文件或者没有加密勒索诱捕文件

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
aboringman + 1 我之前就用WPS这么干过,确实是这样(

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-7-20 18:31 , Processed in 0.134041 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表