撒旦(Satan)勒索病毒分析
这个样本是2018年的样本,当时腾讯电脑管家曾在2018年4月4日发布名为魔鬼撒旦(Satan)勒索病毒携永恒之蓝卷土重来 主攻数据库的分析文章,“分析发现此次撒旦(Satan)勒索病毒携手永恒之蓝漏洞攻击工具,利用NSA泄露的永恒之蓝漏洞工具主动攻击局域网内其他存在漏洞的系统,最终有选择性的将服务器数据库进行高强度加密。加密完成后,会用中英韩三国语言索取0.3个比特币作为赎金,并威胁三天内不支付不予解密。”,同年6月7日腾讯安全联合实验室发布了撒旦 “Satan” 勒索蠕虫最新变种攻击方式解析,此次的变种增加了工具库,“腾讯御见威胁情报中心最新监测发现,撒旦(Satan)勒索病毒的传播方式再度升级,不但继续使用“永恒之蓝”漏洞攻击,还携带了其他多个漏洞攻击模块,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Put任意上传文件漏洞、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞(CVE-2017-10271),使该病毒的感染扩散能力、影响范围得以显著增强”,可见这个病毒在短短的2个月内更新了一次并且附带了新的工具库,可怕的是这个病毒会在宿主机内使用永恒之蓝传播感染。由于是第一次写病毒分析可能存在一些不足,有错误的地方希望能指正。
不知道为什么编辑的文章已知提交不了,就发了在附件了。 大佬文章写得挺好,勒索模块分析如果能说下具体用了那种加密算法就更好了。 chmod755 发表于 2020-6-4 16:51
大佬文章写得挺好,勒索模块分析如果能说下具体用了那种加密算法就更好了。
{:1_937:}由于算法功底不够加上内部太多垃圾代码填充和跳转,所以分析到了核心加密和变化部分我就没细跟了,谢谢提醒啊{:1_918:} 学习了,感谢分享! 学习了,向大佬学习 样本呢?有解密工具没有?顺带问下是在虚拟机里做的吗,会逃逸吗,想分析下,怕搞到主机 不敢下。看看就好。 请问有没有样本呀?
页:
[1]