飞星勒索病毒v1.1

显示全部楼层 · 发表于 2025-2-3 09:41:36

全身发抖发表于 2025-2-2 19:58
自制miss，加密了好几个重要文件......咋办，能救回来吗

真的实体机双击啊？

显示全部楼层 · 发表于 2025-2-3 09:42:46

1073328164 发表于 2025-2-2 20:53
金山现在各方面都很平庸，而且它的入库抄袭别的杀软真的很频繁，有卡巴抄卡巴，没卡巴抄ESET、小A，导致 ...

金山有几个病毒是自己的引擎检测的，大部分都是抄的，腾讯也一样

显示全部楼层 · 发表于 2025-2-3 09:45:04

lsop1349987 发表于 2025-2-2 18:32
avast双击kill
McAfee寄
HMPA拦截，但只有记录没有全屏警报

mcafee运行后检测真的能防勒索吗

显示全部楼层 · 发表于 2025-2-3 10:21:30

冰盾加上开源Yara规则

显示全部楼层 · 发表于 2025-2-3 12:49:05

DisaPDB 发表于 2025-2-2 18:35
本身syscall的目的是为了绕过用户态钩子让edr无法判断ntapi的真实调用方，你这种调用方式已经让系统调用 ...

大佬大佬现在应用了堆栈欺骗效果还可以 BitDefender Total Security双击没报
但是不知道为什么卡巴斯基EDR基础版仍然绕不过去

显示全部楼层 · 发表于 2025-2-3 14:46:36

菜叶片发表于 2025-2-3 12:49
大佬大佬现在应用了堆栈欺骗效果还可以 BitDefender Total Security双击没报
但是不知道为什么卡巴斯 ...

你检测名都没给我怎么判断

显示全部楼层 · 发表于 2025-2-3 15:34:50

SEP解压没反应，右键扫描杀。没太明白SEP，不是有实时防护吗，为什么解压后没反应呢

显示全部楼层 · 发表于 2025-2-3 16:39:05

菜叶片发表于 2025-2-2 21:52
我知道啊勒索病毒遍历还改文件这掩盖不了
我也说了绕不过内核回调
但是我现在先想办法把能掩盖的系统 ...

很多强对抗手段注入都不是创建线程注入的吧
都是在原有线程的基础上进行注入的吧

显示全部楼层 · 发表于 2025-2-5 09:21:35

360下载提示，无视风险解压，然后kill

显示全部楼层 · 发表于 2025-2-6 08:06:23

已知BUG（影响程序运行）
当注入器所在NT路径字符串长度>210（MAX_PATH常量）时会因缓冲区溢出崩溃

不知道其它的勒索是否也会有这种bug，可以多设置几个这样的路径，然后病毒不攻自破。。

[病毒样本] 飞星勒索病毒v1.1