大家来吃鹅蛋 发表于 2019-11-25 16:43

GoRansom勒索病毒分析

第一次发帖,违规请删帖!

瑞星安全专家称此病毒作者公开代码这个行为非常危险,该勒索病毒代码加密体系已经非常成熟。病毒作者还在两个月前更新了最新的代码,瑞星在2019年1月16号就捕获到了利用此源码生成的病毒exe程序。
代码地址:https://github.com/mauri870/ransomware

正片开始!

“GoRansom”勒索病毒使用Go语言开发
http://5b0988e595225.cdn.sohucs.com/images/20190129/2529fef2e3f24dab80d73482b58c4056.png

图:病毒包含的Go语言信息运行之后,随机生成用户编号和文件加密时将要用到的AES密钥,通过RSA算法加密密钥和用户编号,发送给控制服务器。
http://5b0988e595225.cdn.sohucs.com/images/20190129/9f05f1d1afb54ace81bf84b568717ab8.png

图:生成密钥和编号,加密发送给控制服务器发送函数将密钥和编号拼凑后,调用加密函数
http://5b0988e595225.cdn.sohucs.com/images/20190129/971a20348e9041018108fa17e0e38f70.png

图:发送函数调用加密函数加密函数将密钥和编号通过RSA算法加密,发给控制服务器
http://5b0988e595225.cdn.sohucs.com/images/20190129/574fe8358db14a07999ed5b68fffa545.png

图:加密并发送遍历文件准备加密
http://5b0988e595225.cdn.sohucs.com/images/20190129/9d3b5fe6f4384b5a8cf6e279b7bb9711.png

图:遍历文件排除指定的文件夹
http://5b0988e595225.cdn.sohucs.com/images/20190129/0dd1ff4c2f1143a491360ed16b40e481.png

图:排除的文件夹加密指定的后缀
http://5b0988e595225.cdn.sohucs.com/images/20190129/9a88a48159da46cb9af29293a3363fe6.png

图:加密的后缀使用AES算法加密文件
http://5b0988e595225.cdn.sohucs.com/images/20190129/5ca7da45aeda4508b0f2772c374d4e29.png

图:使用AES算法加密文件使用算法重命名被加密的文件的文件名,并追加上勒索后缀
http://5b0988e595225.cdn.sohucs.com/images/20190129/8ed62996ac474a4483333ec17ea505c7.png

图:重命名文件,追加上后缀被修改后,后缀追加上.encrypted后缀
http://5b0988e595225.cdn.sohucs.com/images/20190129/59ad5977e5494f9b9f82206bce325d83.png

图:被加密的文件病毒会将被加密文件的原文件名,存放在桌面LIST_OF_FILES.html文件中,用来给受害者展示哪些文件被加密。
http://5b0988e595225.cdn.sohucs.com/images/20190129/c2f6afd3f099445d81de7895d7f5a0b0.png

图:被加密文件的原文件名在桌面释放勒索信息文件README.html
http://5b0988e595225.cdn.sohucs.com/images/20190129/b67a4bdde013403ca68d317ada22835e.png

图:释放勒索信息勒索信打开后可以看到,攻击者要求受害者支付赎金,并通过文件中留下的邮箱地址联系攻击者,通过留下的比特币钱包地址支付赎金。http://5b0988e595225.cdn.sohucs.com/images/20190129/f2b59283e7fc4e6697e35aa1ed529241.png

图:勒索提示信息结束分析。病毒样本地址到时我会挂上来,现在还没有。

Hmily 发表于 2019-11-26 17:53

太乱了,段于段换个行,这次我给你编辑了,下次注意。

13697i 发表于 2019-11-27 09:06

楼主太厉害了!!!

Jack_007 发表于 2019-11-27 10:50

楼主这个排版看着,贼难受。。。

willJ 发表于 2019-11-27 14:12

太乱了,楼主编辑下格式压

邪恶花花 发表于 2019-12-3 11:39

可以解密吗?

tfrist 发表于 2019-12-11 05:56

f分析的很不错噢

tfrist 发表于 2019-12-11 05:57

邪恶花花 发表于 2019-12-3 11:39
可以解密吗?

基本上不可能除非ransomware本身有漏洞

我爱零 发表于 2019-12-19 21:29

http://it.rising.com.cn/fanglesuo/19510.html
很像啊

大家来吃鹅蛋 发表于 2020-1-14 13:01

对不起,新手发帖,排版很乱,影响了大家的阅读体验。
页: [1] 2
查看完整版本: GoRansom勒索病毒分析


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn