吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 10139|回复: 10
收起左侧

[PC样本分析] GoRansom勒索病毒分析

[复制链接]
大家来吃鹅蛋 发表于 2019-11-25 16:43
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
第一次发帖,违规请删帖!

瑞星安全专家称此病毒作者公开代码这个行为非常危险,该勒索病毒代码加密体系已经非常成熟。病毒作者还在两个月前更新了最新的代码,瑞星在2019年1月16号就捕获到了利用此源码生成的病毒exe程序。
代码地址:https://github.com/mauri870/ransomware

正片开始!

“GoRansom”勒索病毒使用Go语言开发


图:病毒包含的Go语言信息运行之后,随机生成用户编号和文件加密时将要用到的AES密钥,通过RSA算法加密密钥和用户编号,发送给控制服务器。


图:生成密钥和编号,加密发送给控制服务器发送函数将密钥和编号拼凑后,调用加密函数


图:发送函数调用加密函数加密函数将密钥和编号通过RSA算法加密,发给控制服务器


图:加密并发送遍历文件准备加密


图:遍历文件排除指定的文件夹


图:排除的文件夹加密指定的后缀


图:加密的后缀使用AES算法加密文件


图:使用AES算法加密文件使用算法重命名被加密的文件的文件名,并追加上勒索后缀


图:重命名文件,追加上后缀被修改后,后缀追加上.encrypted后缀


图:被加密的文件病毒会将被加密文件的原文件名,存放在桌面LIST_OF_FILES.html文件中,用来给受害者展示哪些文件被加密。


图:被加密文件的原文件名在桌面释放勒索信息文件README.html


图:释放勒索信息勒索信打开后可以看到,攻击者要求受害者支付赎金,并通过文件中留下的邮箱地址联系攻击者,通过留下的比特币钱包地址支付赎金。

图:勒索提示信息结束分析。病毒样本地址到时我会挂上来,现在还没有。

免费评分

参与人数 2吾爱币 +7 热心值 +2 收起 理由
Hmily + 7 + 1 用心讨论,共获提升!
生有涯知无涯 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2019-11-26 17:53
太乱了,段于段换个行,这次我给你编辑了,下次注意。
13697i 发表于 2019-11-27 09:06
Jack_007 发表于 2019-11-27 10:50
willJ 发表于 2019-11-27 14:12
太乱了,楼主编辑下格式压
邪恶花花 发表于 2019-12-3 11:39
可以解密吗?
tfrist 发表于 2019-12-11 05:56
f分析的很不错噢
tfrist 发表于 2019-12-11 05:57

基本上不可能除非ransomware本身有漏洞
我爱零 发表于 2019-12-19 21:29
http://it.rising.com.cn/fanglesuo/19510.html
很像啊
 楼主| 大家来吃鹅蛋 发表于 2020-1-14 13:01
对不起,新手发帖,排版很乱,影响了大家的阅读体验。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:34

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表