- 注册
- 2020-10-24
- 消息
- 123
- 赞
- 2,007
- 时间
- 3d 7h 19m
- 声望
- 94
他的运行界面是这样的:
不难看出来,它是改自之前在车万众中传播的RensenWare
我们先把它拖到vt里看,还是有报毒的,但是免费杀软几乎全面阵亡 查看报告
哥们给他运行一下,发现这个玩意不会加密掉什么重要文件,除了你的参数和脚本。。。(哥们全程开着杀软,半点反应都没有,在此点名批评火绒和comodo)
不过哥们有点意外发现,就是凡是文件名中带有某些符号的文件不会被加密
接下来哥们仔细阅读看看怎么解密
运行nix,啊这
然后哥们就真的运行了nix的loader,发现成功解密
哥们发现只是打开了nix的loader,没有注入甚至没有登录就开始了解密
那哥们如果创建一个文件名叫“nixware.exe"的文件并运行,会不会有一样的效果呢?
我再次点开样本,却发现直接进入了手动恢复的界面
根据Rensenware原作者在Github给出的免疫措施,我们可以知道为了防止在文件未被完全解密的情况下第二次被感染导致完全无法回复,在病毒检测到桌面生成的密钥文件后会直接打开手动解密界面
那么把桌面的密钥文件删掉,再次试验
发现运行文件名为nixware.exe的文件就可以直接解密(不行哥们要笑死了)
最后总结:
1.大脑升级,不要随便去点什么SKCCCCCC.EXE之类的傻B文件
2.永远记住越”清爽“的杀毒软件往往防护能力越弱
3.如果你还没有感染但是很怕被rensenware改感染,在桌面创建两个文件
randomkey.bin
randomiv.bin
或者直接使用Rensenware作者提供的这个
(其实没啥用,因为可以改)
4.如果感染了之后,你就真的运行nix的loader就好了嘛。。。实在没有直接就找个exe改名叫nixware.exe
5.如果感染了之后,你又强行关掉了它的窗口,小笨蛋!你的参数是找不回来了,但是游戏的错误可以直接在steam验证游戏完整性
6.养成重要文件备份的习惯
7.(歪门邪道)在重要文件的文件名中插入奇奇怪怪的符号
8.(还是歪门邪道)据测试如果你的电脑里有光驱而且没插光盘,这玩意运行会出错
不难看出来,它是改自之前在车万众中传播的RensenWare
我们先把它拖到vt里看,还是有报毒的,但是免费杀软几乎全面阵亡 查看报告
哥们给他运行一下,发现这个玩意不会加密掉什么重要文件,除了你的参数和脚本。。。(哥们全程开着杀软,半点反应都没有,在此点名批评火绒和comodo)
不过哥们有点意外发现,就是凡是文件名中带有某些符号的文件不会被加密
接下来哥们仔细阅读看看怎么解密
运行nix,啊这
然后哥们就真的运行了nix的loader,发现成功解密
哥们发现只是打开了nix的loader,没有注入甚至没有登录就开始了解密
那哥们如果创建一个文件名叫“nixware.exe"的文件并运行,会不会有一样的效果呢?
我再次点开样本,却发现直接进入了手动恢复的界面
根据Rensenware原作者在Github给出的免疫措施,我们可以知道为了防止在文件未被完全解密的情况下第二次被感染导致完全无法回复,在病毒检测到桌面生成的密钥文件后会直接打开手动解密界面
那么把桌面的密钥文件删掉,再次试验
发现运行文件名为nixware.exe的文件就可以直接解密(不行哥们要笑死了)
最后总结:
1.大脑升级,不要随便去点什么SKCCCCCC.EXE之类的傻B文件
2.永远记住越”清爽“的杀毒软件往往防护能力越弱
3.如果你还没有感染但是很怕被rensenware改感染,在桌面创建两个文件
randomkey.bin
randomiv.bin
或者直接使用Rensenware作者提供的这个
(其实没啥用,因为可以改)
4.如果感染了之后,你就真的运行nix的loader就好了嘛。。。实在没有直接就找个exe改名叫nixware.exe
5.如果感染了之后,你又强行关掉了它的窗口,小笨蛋!你的参数是找不回来了,但是游戏的错误可以直接在steam验证游戏完整性
6.养成重要文件备份的习惯
7.(歪门邪道)在重要文件的文件名中插入奇奇怪怪的符号
8.(还是歪门邪道)据测试如果你的电脑里有光驱而且没插光盘,这玩意运行会出错
最后编辑:
