附上Crypt1的样本给大家测试
http: //ppt.cc/dnvBM
解压缩密码12345678
的确是由资料量大的磁盘先加密,所以监控哪里都好像不怎么对
是否能判断,不知道诱饵该怎么放才好,自己也在关注这类的有
用小工具
※ 引述《chinoyan ()》之铭言:
: ※ 引述《dennisxkimo (Dennis(一上B就糟糕))》之铭言:
: : 本鲁写了一个小常驻程式来侦测指定的目录异动
: : 当遇到目录内有删除 或 更改档案内容
: : 被改名加密 或者是 不改名加密
: : 理论上都会被侦测到
: : 然后就会执行shutdown /s /f /t 5
: : 最近看到有人针对勒索软件对于 目录权限 测试
: : 不知道自己写的程式 是否可以真的发挥
: : 减少损失的效果(当然 指定的目录最好是勒索加密优先目录)
: : 如果有人有测试 希望能回应结果
: : 看看是否会侦测到 加密行为异动
: : 如果触犯版规 再请版主删除
: : 如果有效 相信这方法的人拿去用没关系
: : 如果无效 也回应一下 谢谢
: : 下载mega空间位址: http: //ppt.cc/dNhdz
: : 解压密码 ptt.cc
: 昨天用版友提供的crpt1样本测试,加密的顺序不固定,
: 好像是由资料量最大的目录开始加密,不是由档名顺序
: 因此,这方法效用有限,要就全部的目录都监视,不然
: 你重要的资料夹被加密了才关机,根本没用
: PS:我用的样本机,采用WINDOWS 内核API,直接断电的关机都还有
: 一半的资料被加密,你的SHUTDOWN 5秒,太久了
作者:
abram (科科)
2016-06-07 17:44:00挖 大家下载这个千万要小心啊 潘朵拉的盒子打开出来的是..
作者:
go1717 (go一起一起当神)
2016-06-07 18:19:00cryp2-9、crypa-y表示:以后都随机加密XD
作者:
aglet (Aglet)
2016-06-07 18:41:00卡巴也不行?有点强
作者:
stu87616 (文组工程师)
2016-06-07 19:10:00换个免空吧 不要再用ppt.cc了啦
对啊...有人拿这个连结去开玩笑怎么办....建议有需要的再写信跟原po索取巴......
作者: ofy (殴飞) 2016-06-07 19:56:00
虽然不是没有伪装成rundll32.exe的病毒,不过你的档案有"签章"签章要伪造跟RSA加密要破解一样困难,你是不是找错毒档样本了补充,签章可以伪造,但要通过系统默认信任凭证机构的验证很难看一下3F图里绿色那行的Trusted source...rundll32经常被利用来加载执行程式库(可能是有害程式如病毒)由于rundll32执行档本身可信,所以有机会避开防毒或HIPS检测svchost(服务)跟explorer(总管/IE)也是常被利用的可信系统档
作者: AngelGT (旦旦) 2016-06-07 20:55:00
这不是样本,是正常执行档,害我高兴了一下XD
作者:
pendoth (46825)
2016-06-07 22:27:00是大家win7下都有的档案呢!SHA1校验是一样的。
我是真的在被勒索的电脑上观察执行程序,这个档案是在Temp下被发现,而且一直在存取硬盘,后来把这个档案移走,就没有继续加密硬盘的资料,所以我才以为这个是病毒样本,因为刚抓到,所以没有测试
作者:
pendoth (46825)
2016-06-07 22:39:00你的TEMP下应该还有一只xxxx.tmp.dll的档案,可站内信吗
作者:
mavewei (蟹å)
2016-06-08 09:05:00大大也给我一份,谢谢
可否有人教我如何撷取完整病毒样本因为电脑即将面临重灌了我不是问方法,而是问要那些档案才完整
作者:
tgtgl (阿骏)
2016-06-08 14:09:00无法下载了 有人有备份吗 谢谢