用powershell加密的勒索软件

显示全部楼层 · 发表于 2024-7-10 16:00:23

00006666 发表于 2024-7-10 14:03
主要这玩意用的命令是很正常的，不是asmi会拦的，amsi主要是检查各种联网/下载之类的，它那种加密命令很 ...

不只是这个，Symantec对于大部分未入库勒索都没反应，靠SONAR防勒索不靠谱，Norton的DP效果比这好不少。

SEP也不怎么杀脚本，简直要命

显示全部楼层 · 发表于 2024-7-10 16:02:24

AhnLab 实时kill

显示全部楼层 · 发表于 2024-7-10 21:02:11

CS解压+扫描miss

显示全部楼层 · 发表于 2024-7-12 00:52:34

本帖最后由 QVM360 于 2024-7-12 00:59 编辑

最新消息他回我了，还有这个yuhen似乎是亚洲地区的名字，有可能对面也是中国人
注意看一楼的图片，被勒索后的桌面壁纸，上面有个"All issues on your device"感觉有点中式英语的味道

他给我发的解密程序，但是有密码，也就是说只需要运行这个解密程序就可以解密，说明他有可能是AES对称加密，不需要本机存放的私钥

显示全部楼层 · 发表于 2024-7-12 01:09:43

QVM360 发表于 2024-7-12 00:52
最新消息他回我了，还有这个yuhen似乎是亚洲地区的名字，有可能对面也是中国人
注意看一楼的图片，被勒索 ...

@wowocock 来看看能不能让技术部门开发针对性解密

显示全部楼层 · 发表于 2024-7-12 01:14:51

00006666 发表于 2024-7-12 01:09
@wowocock 来看看能不能让技术部门开发针对性解密

密钥应该是：
JsD2Uktzca/WtYd2My/PjappCdUbqijJAXr167V6imY=

我看到他的ps1文件里有一段这个：
foreach ($file in $files) { Protect-File $file -Algorithm AES -KeyAsPlainText JsD2Uktzca/WtYd2My/PjappCdUbqijJAXr167V6imY= -Suffix '..LOCKSYSTEM' -RemoveSource }

显示全部楼层 · 发表于 2024-7-12 01:29:10

本帖最后由 DisaPDB 于 2024-7-12 07:00 编辑

QVM360 发表于 2024-7-12 00:52
最新消息他回我了，还有这个yuhen似乎是亚洲地区的名字，有可能对面也是中国人
注意看一楼的图片，被勒索 ...

确实是AES没错啊，指定的算法都给出了

foreach ($file in $files) {
Protect-File $file -Algorithm AES -KeyAsPlainText JsD2Uktzca/WtYd2My/PjappCdUbqijJAXr167V6imY= -Suffix '..LOCKSYSTEM' -RemoveSource
}

复制代码

甚至密钥都硬编码在脚本里面，所以脚本应该不难写

from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
key = 'JsD2Uktzca/WtYd2My/PjappCdUbqijJAXr167V6imY='
ciphertext = ''
cipher = AES.new(key, AES.MODE_CBC)
plaintext = unpad(cipher.decrypt(ciphertext), AES.block_size)
print(plaintext)

复制代码

差不多这个意思，没细抠语法

显示全部楼层 · 发表于 2024-7-12 01:50:33

DisaPDB 发表于 2024-7-12 01:29
确实是AES没错啊，指定的算法都给出了
甚至密钥都硬编码在脚本里面，所以脚本应该不难写
差不多这个意 ...

这个好像不是base64编码的
JsD2Uktzca/WtYd2My/PjappCdUbqijJAXr167V6imY=

显示全部楼层 · 发表于 2024-7-12 02:03:46

他又回我了

显示全部楼层 · 发表于 2024-7-12 03:08:27

这人真是中国人，我和他聊很久了，他住在印度尼西亚

[病毒样本] 用powershell加密的勒索软件

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块