飞星勒索病毒 v1.0

菜叶片

飞星勒索病毒 v1.0

可绕过EDR用户模式Hook 反内存扫描 反调试
未加壳 无编码器 混淆 加密 直接使用vs2022编译
需要Visual C++ Restributable运行库
（也可以用其他编译器编译 就不需要运行库 但是我懒得去调最优免杀编译参数）

反用户模式行为检测原理
PEB 寻址 动态解析 NtDll.dll 获取 Nt* 函数的系统调用地址和系统调用号 这里引用了SysWhisper3部分源码
通过两次硬件断点Hook 重定向高层函数调用执行流至目标 Nt* 函数 伪造完整调用链 同时覆写调用参数 实现间接系统调用

反内存扫描
采用ChaCha20流加密

需要改进
目前使用原始递归方式遍历目录 效率较低 后续更新可能采用深度优先搜索 或 广度优先搜索

加密的目标文件类型
        L".txt", L".doc", L".xls", L".ppt", L".pdf", L".jpg", L".png", L".bmp", L".gif",
        L".mp4", L".mp3", L".sql", L".db", L".zip", L".rar", L".7z", L".html", L".c", L".h", L".py"


emm 还是很方便添加的 保存在一个宽字符组里

GitHub开源 https://github.com/CNMrSunshine/StarFlyCryptor/
VT 70/72未检出 https://www.virustotal.com/gui/f ... de08c2799a56004e325

P.S. 本来DeepInstinct也过了 删去所有调试用输出打印后又过不了了....
P.P.S. 懒得设计UI 所以加密操作（大概要十分钟）结束后 只会弹出一个消息框XD

郭俊民

Any Run https://app.any.run/tasks/99e02160-79f7-4e8c-afce-6ae4c11a5892
微步 https://s.threatbook.com/report/ ... de08c2799a56004e325360 https://ata.360.net/report/657808356699136
这是什么反沙箱措施，三个沙箱都显示安全

菜叶片

郭俊民 发表于 2025-2-1 18:26
Any Run https://app.any.run/tasks/99e02160-79f7-4e8c-afce-6ae4c11a5892
微步 https://s.threatbook.co ...

双重硬件断点Hook 伪造调用链实现的无痕间接系统调用VirusTotal的云沙箱都查出来了 所有行为 遍历目录啊 加密啊 设置调试寄存器 劫持执行流之类的

awsl10000次

Sophos intelix检出
https://intelix.sophos.com/repor ... 8e3407/dynamic/file
卡巴 opentip检出
https://opentip.kaspersky.com/2d ... /results?tab=lookup
不过这个报法好像是有饭友触发pdm了
奇安信沙箱可疑
https://sandbox.ti.qianxin.com/s ... ZTBEDw3h6wn_HCy72_f
卡巴现在报毒UDS:Trojan-Ransom.Win32.Crypmod，不清楚和楼下的VHO有什么区别

啊松

郭俊民

不过还是没有逃过猎剑云

菜叶片

awsl10000次 发表于 2025-2-1 18:34
Sophos intelix检出
https://intelix.sophos.com/repor ... 8e3407/dynamic/file
卡巴 opentip检出

这个 卡巴我触发的 XD  刚刚用KES试了一下
奇安信的可疑是因为 在释放文件里发现加密过的文件了
但是因为是chacha20 所以他判断成 堆喷射 我也不知道堆喷射啥意思XD

biue

腾讯电脑管家 不报

PhozeAMTB

WD（第一次） 扫描Miss 双击ASR
样本已上报
虚拟机双击kill

lsop1349987

avast 双击 kill
Sophos 双击kill
SEP寄
EIS寄
HMPA kill
红伞寄