自制Python勒索 2x

郭俊民

链接 https://wwkz.lanzouv.com/ifSzi2ldqk5i
勒索变化版  加密桌面jpg,png,exe,txt,zip,rar VirusTotal - File - 126bade7c2d5aeab1d0e1410dcc50e7f96020ff2b84b2877cb79196591d03894
作业保护 加密桌面名称含有“作业”的文件VirusTotal - File - 49108802e4f7e58552107e9e38089566b819a582f42293a903674aceb053d6c1
强烈建议测主动防御！！！！！
以下杀毒软件B站视频已测试，首次均失败！
360杀毒+卫士 卡巴 火绒 腾讯电脑 安全中心
扫描成功 自制
主动防御成功 冰盾（自定义规则）
360二次测试 加密几个文件后拦截

xmt12

自制 kill
已入库为

Ransom.Generic

1. XAS扫描日志
   
2. 扫描开始时间:2025/1/19 20:57:41
   
3. 
   
4. 主程序版本:3.1.0(beta) 病毒库版本:1804(2025.1.18)
   
5. 特征库个数：17574
   
6. 黑md5个数：2334383
   
7. 白md5个数：150545
   
8. 
   
9. 危险文件:
   
10. ---------
    
11. 
    
12. D:/用户文件/2/桌面/两个勒索\两个勒索\作业保护.exe[XAS特征引擎][Win64/Trojan.Generic.E05331bF]
    
13. D:/用户文件/2/桌面/两个勒索\两个勒索\勒索变化版.exe[XAS特征引擎][Win64/Trojan.Generic.E05331bF]
    
14. 
    
15. 总文件数:2
    
16. 病毒文件个数:2
    
17. 查杀率:100.0%
    
18. 扫描结束时间:2025/1/19 20:57:42

复制代码

PhozeAMTB

WD ASR 2x

（WD:看我ASR！）====================================
因为虚拟机出了些问题，组策略失效、注册表项也拒绝访问。在重启进安全模式手动删注册表关闭相应ASR规则后，再次运行。文件夹限制访问阻止1x。好像是防火墙？阻止1x（原虚拟机保护的全盘目录。但两样本均因无法向temp释放文件而无法运行，故调整设置只保护桌面）。

过了几分钟后，WD大显神威，直接入库，杀了1x。第二天WD又大显神威，杀了另一个。

lsop1349987

avast均触发cc为安全，被勒索防护阻止
ZA寄，McAfee寄，HMPA开心版拦截第一个miss第二个，SEP自管第一个运行无结果，第二个miss

补充：红伞free第一个miss，第二个HEUR/APC
补充：Sophos Endpoint Intercept X与HMPA结果一致

郭俊民

另外，如果密码输入错误会删除文件

aikafans

第一个，kart拦截
第二个，katana杀
——————
更新：退出kart后，第一个katana杀，此次测试katana双杀

驭龙

我这边SAC和MD都不拦截了

Fadouse

S1 自定义star 双击 回滚
KES 发力，全部 PDM

1. Event: Process terminated
   
2. Application: 作业保护.exe
   
3. User: LAPTOP\fadou
   
4. User type: Initiator
   
5. Component: Behavior Detection
   
6. Result description: Terminated
   
7. Type: Trojan
   
8. Name: PDM:Trojan.Win32.Generic
   
9. Threat level: High
   
10. Object type: Process
    
11. Object path: E:\Code\Virus\两个勒索
    
12. Object name: 作业保护.exe
    
13. SHA256: 49108802E4F7E58552107E9E38089566B819A582F42293A903674ACEB053D6C1
    
14. MD5: 96D8D017A2236DECDDFE4863510C490C

复制代码

inhh1

best未触发勒索回滚，全程无反应
更新：联网情况测试会被丢沙盒分析器+阻止运行
其中加密全桌面的被判定成ransom后下发阻断
只加密作业的判clean

Rukia

aikafans 发表于 2025-1-19 21:39
第一个，kart拦截
第二个，katana杀
——————

我Katana和ESET一起安装的。经我测试，这俩都没有拦截，迷。