附上Crypt1的樣本給大家測試
http: //ppt.cc/dnvBM
解壓縮密碼12345678
的確是由資料量大的磁碟先加密，所以監控哪裡都好像不怎麼對
是否能判斷，不知道誘餌該怎麼放才好，自己也在關注這類的有
用小工具
※ 引述《chinoyan ()》之銘言：
: ※ 引述《dennisxkimo (Dennis(一上B就糟糕))》之銘言：
: : 本魯寫了一個小常駐程式來偵測指定的目錄異動
: : 當遇到目錄內有刪除 或 更改檔案內容
: : 被改名加密 或者是 不改名加密
: : 理論上都會被偵測到
: : 然後就會執行shutdown /s /f /t 5
: : 最近看到有人針對勒索軟體對於 目錄權限 測試
: : 不知道自己寫的程式 是否可以真的發揮
: : 減少損失的效果(當然 指定的目錄最好是勒索加密優先目錄)
: : 如果有人有測試 希望能回應結果
: : 看看是否會偵測到 加密行為異動
: : 如果觸犯版規 再請版主刪除
: : 如果有效 相信這方法的人拿去用沒關係
: : 如果無效 也回應一下 謝謝
: : 下載mega空間位址: http: //ppt.cc/dNhdz
: : 解壓密碼 ptt.cc
: 昨天用版友提供的crpt1樣本測試,加密的順序不固定,
: 好像是由資料量最大的目錄開始加密,不是由檔名順序
: 因此,這方法效用有限,要就全部的目錄都監視,不然
: 你重要的資料夾被加密了才關機,根本沒用
: PS:我用的樣本機,採用WINDOWS 內核API,直接斷電的關機都還有
: 一半的資料被加密,你的SHUTDOWN 5秒,太久了

挖 大家下載這個千萬要小心啊 潘朵拉的盒子打開出來的是..

cryp2-9、crypa-y表示：以後都隨機加密XD

http://i.imgur.com/9TiHmJM.jpg 沒軟體掃得出來…

卡巴也不行？有點強

這是正常檔案，當然掃不出來

換個免空吧 不要再用ppt.cc了啦

對啊...有人拿這個連結去開玩笑怎麼辦....建議有需要的再寫信跟原po索取巴......

雖然不是沒有偽裝成rundll32.exe的病毒,不過你的檔案有"簽章"簽章要偽造跟RSA加密要破解一樣困難,你是不是找錯毒檔樣本了補充,簽章可以偽造,但要通過系統預設信任憑證機構的驗證很難看一下3F圖裡綠色那行的Trusted source...rundll32經常被利用來載入執行程式庫(可能是有害程式如病毒)由於rundll32執行檔本身可信,所以有機會避開防毒或HIPS檢測svchost(服務)跟explorer(總管/IE)也是常被利用的可信系統檔

這不是樣本，是正常執行檔，害我高興了一下XD

是大家win7下都有的檔案呢！SHA1校驗是一樣的。

我是真的在被勒索的電腦上觀察執行程序，這個檔案是在Temp下被發現，而且一直在存取硬碟，後來把這個檔案移走，就沒有繼續加密硬碟的資料，所以我才以為這個是病毒樣本，因為剛抓到，所以沒有測試

你的TEMP下應該還有一隻xxxx.tmp.dll的檔案，可站內信嗎

可以，電腦還保留著

大大也給我一份，謝謝

可否有人教我如何擷取完整病毒樣本因為電腦即將面臨重灌了我不是問方法，而是問要那些檔案才完整

無法下載了 有人有備份嗎 謝謝