飞星勒索病毒v1.1

awsl10000次

453125415 发表于 2025-2-2 19:32
360卫士
双击miss桌面文件被加密....太菜了
扫描杀dll

扫描能杀双击反倒漏，是不是也算监控漏毒啊

1073328164

驭龙 发表于 2025-2-2 19:02
ESSP的ELG杀EXE文件，加密器暂时没杀

金山毒霸又是把卡巴的报毒名原封不动的抄过来，瑞星人家还知道改一下呢

菜叶片

全身发抖 发表于 2025-2-2 19:58
自制miss，加密了好几个重要文件......咋办，能救回来吗

可以的 Chacha20加密 密钥和Nonce
    unsigned char key[32] = { 0x20, 0x06, 0x02, 0x25, 0x4a, 0x69, 0x75, 0x59, 0x61, 0x6e, 0x20, 0x47, 0x69, 0x74, 0x48, 0x75,
                             0x62, 0x43, 0x4e, 0x4d, 0x72, 0x53, 0x75, 0x6e, 0x73, 0x68, 0x69, 0x6e, 0x65, 0x51, 0x41, 0x51 };
    unsigned char nonce[8] = { 0x59, 0x65, 0x50, 0x69, 0x61, 0x6e, 0x58, 0x44 };

驭龙

1073328164 发表于 2025-2-2 20:42
金山毒霸又是把卡巴的报毒名原封不动的抄过来，瑞星人家还知道改一下呢

我就是体验一下，不过说真的金山好卡啊，我感觉青花瓷版毒霸以后就落寞了，现在的国产也就QAX和360比较强

菜叶片

awsl10000次 发表于 2025-2-2 20:18
扫描能杀双击反倒漏，是不是也算监控漏毒啊

dll是由三个.c文件编译成的 其中两个是我写的 一个直接引用的别人Github项目
作用是 在dll被写入目标内存后 自行处理映像 创建线程
因为是 纯底层操作 没有调用任何外部API 很难修改 就没有怎么改
所以dll很容易被特征 就是标准的反射型DLL注入器

anthonyqian

The detection for this threat will be included in the next update of detection engine, expected version: 30651.

StarFly.dll - Win64/Filecoder.SA trojan
StarFly.exe - Win64/Filecoder.SA trojan

1073328164

驭龙 发表于 2025-2-2 20:45
我就是体验一下，不过说真的金山好卡啊，我感觉青花瓷版毒霸以后就落寞了，现在的国产也就QAX和360比较强

金山现在各方面都很平庸，而且它的入库抄袭别的杀软真的很频繁，有卡巴抄卡巴，没卡巴抄ESET、小A，导致报毒名五花八门什么都有，这种偷懒的行为让我对它的技术力很不放心

驭龙

1073328164 发表于 2025-2-2 20:53
金山现在各方面都很平庸，而且它的入库抄袭别的杀软真的很频繁，有卡巴抄卡巴，没卡巴抄ESET、小A，导致 ...

金山跟管家真的是半斤八两，腾讯管家也是抄抄抄，管家更离谱的是TAV引擎更新太让人着急上火了，哈哈

现在我觉得国际上的一线也就是卡巴 BD avast ESET算得上是一线四大金刚，准一线SEP和MDB，Avira也凑个数，就看SEP 16能不能重回巅峰了，哈

全身发抖

菜叶片 发表于 2025-2-2 20:44
可以的 Chacha20加密 密钥和Nonce
    unsigned char key[32] = { 0x20, 0x06, 0x02, 0x25, 0x4a, 0x69, ...

这个怎么弄来着？老久没有编程了

菜叶片

DisaPDB 发表于 2025-2-2 18:35
本身syscall的目的是为了绕过用户态钩子让edr无法判断ntapi的真实调用方，你这种调用方式已经让系统调用 ...

我就是自定义VEH啊
现在在用github开源的EDR检测到底是哪里出了问题