2020-07-31 09:54:37

索然无味的勒索病毒

15 / 0 / 0 / 0

过程分析

本文分析一个名为blocky的勒索病毒。
先拷贝自身,算出随机密钥,对特定目录下的文件进行加密,发送密钥至恶意样本作者。

详细分析

使用Det查看,发现是.net框架的。  拷贝自身到C:\15pb-win7\Rand123\local.exe:  随机算出第一层密钥:  对以下目录进行加密:  加密的后缀,基本上常见的后缀都有。  对文件进行加密:   这里的s就是传入的password,未加密的字符串3gv*cnLjf9POQ0B。  先将password由字符串转换为十六进制,在计算出hash值26640E02072A0BD1A8AE1E9B91ED12DC80C9392C2D714FDF028006F61B4E8120。  对文件内容进行aes加密,传入的是要加密文件的十六进制信息及密钥:   桌面留存的勒索信息:  恶意样本要访问谷歌,然而虚拟机里没搞翻墙,只能返回false。  如果不可以访问谷歌,则会一直尝试访问谷歌直到可以访问,就会创建勒索壁纸,并将密钥传回恶意样本作者手中。  创建的勒索壁纸:  发送需要的数据到恶意样本作者手中: 

附件密码:infected

PS: 如本文对您有疑惑,可加QQ:1752338621 进行讨论。

0 条评论

0
0
官方
微信
官方微信
Q Q
咨询
意见
反馈
返回
顶部