自制der一枚勒索

UNknownOoo

嘛...这其实是好久好久以前就写出来玩的一个勒索...当时在群里浅浅地给一些朋友玩过：


最近刚好稍微有点空，就浅浅地改了一下（没记错的话23年那枚就已经能过好多杀毒软件的多步了？）
加密过程中会跳过隐藏文件/文件夹；对写死文件夹保护的杀毒软件（如avast）没有作用。

样本加密文件分成三个阶段（通过文件名判断），分别进行文件遍历、加密、删除动作：
stage1.exe：遍历文件，存入%temp%\List.csv ; 将自身复制到%temp%目录下并重命名为 stage2.exe.
stage2.exe：生成加密文件，将自身复制到%temp%\edge_BITS_9494_114514191 目录下，并重命名为stage3.exe
stage3.exe：删除原文件，在桌面生成勒索信

为了防止误触，下载后需要手动把 Final.exe 更名为 stage1.exe （虽然加密密钥都是写死的，但是因为懒就没写解密的exe，解密源码里有留函数）

补充：最好不要以病毒的名义上报该样本qwq
样本：https://wwjw.lanzouq.com/iObxX2xdj9na

源码：https://wwjw.lanzouq.com/iNnBO2xdjkmf （不准拿去干坏事）
加密内容的话好像有jpg,png,pdf 等等（不方便看源码现在）
加密目录的话好像是当前登录用户的数据文件夹（就download,desktop,picture这些）

jxfaiu

卡巴、ESET扫描没反应被过
https://www.virustotal.com/gui/f ... 5940a6b8b8246dd407f


安天智甲解决压杀：

GDHJDSYDH

EIS扫描miss，沙盒内运行miss

aboringman

360：0

1. 2025-05-28 13:39:24        [自动阻止]          修改 文档或图片文件        防护 1 次
   
2. 详细描述：
   
3. 进程：C:\Users\123aaa\AppData\Local\Temp\edge_BITS_9494_114514191\stage3.exe
   
4. 动作：删除
   
5. 路径：C:\Users\123aaa\Desktop\276.30 - 副本.pdf
   
6. 风险文件：C:\Users\123aaa\AppData\Local\Temp\edge_BITS_9494_114514191\stage3.exe
   
7. 防护信息: FD|47, 1191|30, 30, -1|65D5F0C648286320FAFB193E9C88D5D4|99f8517645984a9ef93a573b6ae043a86ab938d6|
   
8. 
   
9. 2025-05-28 13:39:24        [自动处理]          结束进程        防护 1 次
   
10. 详细描述：
    
11. 进程：C:\Windows\System32\conhost.exe 2D118188|3||1748410766
    
12. 
    
13. 2025-05-28 13:39:24        [自动处理]          结束进程        防护 2 次
    
14. 详细描述：
    
15. 进程：C:\Users\123aaa\AppData\Local\Temp\edge_BITS_9494_114514191\stage3.exe 275D7E03|3|JcSQRMKTJJLcQ[R_P^NXJ]|1748410766
    
16. 
    
17. 2025-05-28 13:39:24        [已阻止]          修改 文档或图片文件        防护 1 次
    
18. 详细描述：
    
19. 进程：C:\Users\123aaa\AppData\Local\Temp\edge_BITS_9494_114514191\stage3.exe
    
20. 动作：删除
    
21. 路径：C:\Users\123aaa\Desktop\276.30 - 副本.pdf
    
22. 风险文件：C:\Users\123aaa\AppData\Local\Temp\edge_BITS_9494_114514191\stage3.exe
    
23. 防护信息: FD|47, 1191|30, 30, -1|65D5F0C648286320FAFB193E9C88D5D4|99f8517645984a9ef93a573b6ae043a86ab938d6|

复制代码

损失了两个DOCX。。。。。。（PS.桌面上那些诱饵是我从主机直接拉进虚拟机里然后又复制粘贴了一份的，所以可能对结果会有点影响）

啊松

过卡巴双击

lsop1349987

emsisoft双击kill、HMPAmiss

1. 2025/5/28 14:29:39
   
2. 恶意软件 "Behavior.HiddenInstallation" 来自于 "C:\Users\user\Desktop\stage1.exe" 已隔离。

复制代码

EDR的回滚没用上，主防杀

aikafans

fsp扫描 杀

stage1.exe
HEUR/APC
清除

UNknownOoo

lsop1349987 发表于 2025-5-28 14:33
emsisoft双击kill、HMPAmiss

EDR的回滚没用上，主防杀

能复测一枚嘛？（无害，不用改文件名）

https://wwjw.lanzouq.com/iLzVL2xdv7ah

lsop1349987

UNknownOoo 发表于 2025-5-28 14:47
能复测一枚嘛？（无害，不用改文件名）

https://wwjw.lanzouq.com/iLzVL2xdv7ah

我好像明白了什么。。。

喀反

windows defender勒索软件保护功能拦截。程序自退，无后续动作，文件正常