自制Python勒索 2x

Renascence

驭龙 发表于 2025-1-19 21:44
我这边SAC和MD都不拦截了

试了一下，SAC把两个都拦截了，都轮不到ASR

aikafans

Rukia 发表于 2025-1-19 22:17
我Katana和ESET一起安装的。经我测试，这俩都没有拦截，迷。

是不是他们两个冲突了.......

OrangeCell

Python编译的exe静态出奇的好（除非是pyinstaller通杀，不然没几个查的出来

---

F-secure杀第一个名为作业保护的文件，第二个变化版扫描miss。


变化版交给自制的机学进行扫描，kill。

OrangeCell

inhh1 发表于 2025-1-19 21:54
best未触发勒索回滚，全程无反应

和ATC冲突了吧

bbszy

22222221 发表于 2025-1-20 07:51
appcheck
两个双击均拦截
桌面五十个文件无一被加密

这个软件是不是相当于白名单啊

驭龙

PhozeAMTB 发表于 2025-1-20 08:20
龙大，我这边实机还是被ASR拦着。病毒库也更新了，云连接也成功，又静置了半小时。那两个样本连图标都没 ...

我下午开机在测试一下，另外第二个报毒的名字也不是入库
========================================
为了确保ASR规则在工作，我先触发一条ASR规则，正常工作，TDT也启用的


然后运行样本·作业保护，预先放在桌面的文件被加密


运行勒索软件样本，仍然成功运行毫无反应。


你的情况应该是昨天测试的原因，电脑上有动态签名服务DSS缓存，所以才会一直报。

驭龙

Renascence 发表于 2025-1-20 08:50
试了一下，SAC把两个都拦截了，都轮不到ASR

你这不是智能应用控制报的，是旧版的应用程序控制锁，这个是按本地策略文件阻止文件，不是SAC，SAC是有锁屏提示框的，如UAC那种提示
这种才是SAC阻止的提示框

inhh1

OrangeCell 发表于 2025-1-20 10:35
和ATC冲突了吧

ATC也没动静，bd好像是不全盘加密就没动静

PhozeAMTB

驭龙 发表于 2025-1-20 11:52
我下午开机在测试一下，另外第二个报毒的名字也不是入库
========================================
为了 ...

好...我把虚拟机回滚一下快照再试试=========================
刚刚把虚拟机滚回到12月28日的快照，然后手动更新了病毒库，再然后解压样本。ASR不阻止了，但是双击仍然报毒



=======================
更离谱的是就算我再回滚一遍快照直接用28号的1060远古病毒库MD一样能阻止
另外就算用古代病毒库+断网的情况下，这两个样本还是会被保护整个C盘目录的文件夹限制访问阻止，并且观察到只要虚拟机一连网，两个样本就会被干掉（说明SAC可能连云零容忍都给报废了

骨灰级小白

实机双击WD KILL