Mình thường lấy mẫu ở các trang sau: https://app.any.run/ và https://www.malware-traffic-analysis.net/
Trang thứ 1 dùng để phần tích tự động, giống sandbox, có các mẫu do người dùng khác phân tích
Trang thứ 2 có cả bài viết phân tích
Mật khẩu mã độc mặc định của 2 trang này là infected