索然无味的勒索病毒
## 前言
感觉自己最近没有分析过勒索类的病毒了,就冲浪的时候随手找了一个blocky的勒索病毒来分析分析。
## 过程分析
先拷贝自身,算出随机密钥,对特定目录下的文件进行加密,发送密钥至恶意样本作者。
## 详细分析
使用Det查看,发现是.net框架的
拷贝自身到`C:\15pb-win7\Rand123\local.exe`
随机算出第一层密钥
对以下目录进行加密
加密的后缀,基本上常见的后缀都有
对文件进行加密
这里的s就是传入的password,未加密的字符串`3gv*cnLjf9POQ0B`
先将password由字符串转换为十六进制,在计算出hash值`26640E02072A0BD1A8AE1E9B91ED12DC80C9392C2D714FDF028006F61B4E8120`
对文件内容进行aes加密,传入的是要加密文件的十六进制信息,及密钥
桌面留存的勒索信息
恶意样本要访问谷歌,然而虚拟机里没搞翻墙,只能返回false
如果不可以访问谷歌,则会一直尝试访问谷歌直到可以访问,就会创建勒索壁纸,并将密钥传回恶意样本作者手中
创建的勒索壁纸
发送需要的数据到恶意样本作者手中
## 后记
没撒感觉,毕竟.net。索然无味。。。
密码:infected 楼主:勒索病毒就这? 海上明日 发表于 2020-7-28 12:05
额。。。.NET怎么了啊,是很容易找回文件吗,即便如此RSA加密过后也几乎无法解密吧
加密了的文件根本就没法回来 除非勒索软件本身有bug。 有点意思,有时候技术简单,思路对了,中招的人不在少数 索然无味 最为致命 楼主devos有解不{:1_918:} 有点意思,昨天看到有人中招 楼主厉害,这病毒太枯燥了{:301_988:} 这个病毒在中国咋办?莫得谷歌 额。。。.NET怎么了啊,是很容易找回文件吗,即便如此RSA加密过后也几乎无法解密吧 然而大多数人都对病毒束手无策,勒索者太恶劣了