WanaCrypt0r 勒索病毒： 19 款杀软主防测试

这个测试没什么意义。病毒库除了静态病毒 signatures 之外还有别的内容。即便可以检测，检测的名字也是 generic 的 trojan。这有什么意义。

这么一个牛逼的漏洞被这么一个有缺陷的勒索爆了

估计无数 xx 人员气的想骂人

离线勒索软件思路

AES 加密文件，RSA 公钥加密 AES 密钥，要求用户通过 tor 的.onion 网站提交被 RSA 加密的 AES 密钥文件，同时还要用户提交即将用于支付赎金的比特币钱包地址，这样能绑定用户和比特币钱包地址，然后要求用比特币付款，暗网网站后台程序自动验证，自动用 RSA 私钥解密 AES 密钥文件，向用户发放 AES 解密密钥，用户向解密器填入专属 AES 密钥解密。

全程被害电脑可以断网，赎回文件可以用其他电脑操作。

@Technetiumer 哈哈，纯内存，重启不就没事了？ 病毒一定是要有实体文件的，你可以说在缓存里，但仍然是有实体，不然怎么生效？ 病毒要生存要常驻（不然重启怎么办），甚至可以内核级、驱动级加载，或者可以欺诈隐藏，挂了了钩子对系统查询返回虚假值（典型就是 Rootkit ）
而这个是 A+B 的套餐，即使 A 是可以因为永恒之蓝可以在目标机器以内存方式执行机器源码，但 B 仍然是实体文件程序。虽说这是个破坏型的病毒，只需要执行一次，不需要像木马那样希望开机常驻，但考虑到要实现勒索、解密功能，怎么可能光在内存就够了？ 何况你也说了，它还有蠕虫的攻击特征，怎么会没有实体的程序文件？

@Domains 应该 A 加密后，再释放 B。

如果 B 去加密文件，那么运行在内存中的 A 无非就是个下载器，下载了个普通勒索程序 B，B 有了实体文件就会被杀软文件监控扫描。

如果 A 去加密，那么没有文件读写可以绕过杀软文件实时监控，加密后再释放解密和说明程序 B，这样到现在哪怕入库了只要没有内存扫描和主防的杀软也会被绕过。

我看这个卡饭帖子写的是 A 释放了 B，B 加密文件。

@Technetiumer 对啊，A 是下载器也是一个实体程序文件的，典型就是木马下载器+真正木马模式，木马下载器很小巧，10KB 就够了，然后再偷偷后台下载真正的木马并运行释放。所以，要拦截也是有办法的，IDM 就够了，因为 IDM 能拦截所有下载请求。
总之，你上面贴的那段太玄乎了

@Technetiumer 远程执行漏洞的话，应该是负责 SMB 的系统进程被植入了 A，要杀是一样能杀，只不过变成杀系统进程了而已……
的确这得靠内存查杀和行为防御……

@yicun 自动更新修复过的漏洞不也爆发了。。。关自动更新的应该也不会有用了 Windows defender。。。

这个东西主要还是靠神洞 eternalblue 传播的吧？不知道这和直接双击会不会产生不同的结果。原帖作者是直接双击的，并不是另找一台虚拟机来感染它。

@Domains
MBR 木马“暗云”不就没有实体文件……
还有 IDM 啥时候有安全功能了，万一人家不用 HTTP 协议呢？

@Technetiumer
“该病毒是先在本地生成加密密钥，加密完才上传至服务器，察觉的快的话，没有杀软的情况下也可能挽救文件。”
不知道这贴来自几楼？
按照目前的分析，这病毒加密一个文件换一个密钥，是严谨 /恶毒的表现。虽然它确实干了强行获取文件可写权限、忘记抹掉未加密原始文件等错误，但我觉得本地生成加密密钥真的是亮点……（但如果病毒没及时从内存中清除掉私钥，折腾那么多就完全没意义了，内存 dump 即可破之）

有没有什么靠谱的专杀工具？不想为了它而新装一个杀毒软件。

@jasontse 这是测主防，不是特征扫描

Windows Defender 呢？

数字公司的那个笑死我了

@littleylv 没什么好笑的，360 的确是让普通用户最早并且最有效避免病毒的.

@fate #75 最早最有效的避免病毒的不应该是微软 3 月份的补丁么 [滑稽

@fate 哈哈哈哈哈

这种测试没什么意义

@littleylv 哈哈 可惜补丁没人打啊

@fate
先把老奶奶推倒，然后第一个把老奶奶扶起既视感
jbdxbl