[原创]记一次捕获并简要分析cxk恶作剧形式勒索病毒-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
Editor 雪币： 26588 活跃值： (63252) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 2 楼感谢分享！ 2019-9-27 14:26 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 3 楼挺无聊的(CXK牛批) 2019-9-27 15:02 0
如此美丽。雪币： 17 活跃值： (278) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	如此美丽。 4 楼鸡你太美 2019-9-27 15:05 0
ooOOOoomxw 雪币： 38 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 2 关注私信	ooOOOoomxw 5 楼连加密和编码都搞不清楚...笑死个人 2019-9-27 16:18 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 6 楼有一大段的echo指令，对这些内容提取后，生成相应的js文件对其进行解压，由于在查看时末尾发现"=="符号，自然而然就直接对其进行base64解码，文件以PK开头，发现是一个zip压缩包，本地对其解压后发现是一张图片。这段话啥意思没看懂 2019-9-30 14:07 0
jishuzhain 雪币： 17428 活跃值： (5009) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 7 楼 killpy 有一大段的echo指令，对这些内容提取后，生成相应的js文件对其进行解压，由于在查看时末尾发现"=="符号，自然而然就直接对其进行base64解码，文件以PK开头，发现是一个zip ... echo指令是将数据给追加写入一个文件里，该文件会被后续批处理生成的js来执行（base64解码与zip解压），这里因为笔者熟悉其逻辑后，本地就直接抽取echo的数据，然后合并后对其进行base64解码后，发现是一个zip文件压缩包（文件十六进制查看开头是PK，这是zip压缩文件的标志），本地手工对其zip解压，即可发现是一张图片。 2019-10-2 10:51 0
wx_Pal 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_Pal 8 楼各位老师，请问，附件中的批处理文件 (CXK-NMSL) 能在自己电脑上运行吗？会有什么样的结果呢？是不是就把本机文件全部加密了,如果是这样, 怎么解密呢 ? 2019-12-26 18:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
Editor 雪币： 26588 活跃值： (63252) 能力值： (RANK：135 ) 在线值：发帖 1683 回帖 4390 粉丝 1763 关注私信	Editor 2 楼感谢分享！ 2019-9-27 14:26 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 3 楼挺无聊的(CXK牛批) 2019-9-27 15:02 0
如此美丽。雪币： 17 活跃值： (278) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 26 粉丝 2 关注私信	如此美丽。 4 楼鸡你太美 2019-9-27 15:05 0
ooOOOoomxw 雪币： 38 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 2 关注私信	ooOOOoomxw 5 楼连加密和编码都搞不清楚...笑死个人 2019-9-27 16:18 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 6 楼有一大段的echo指令，对这些内容提取后，生成相应的js文件对其进行解压，由于在查看时末尾发现"=="符号，自然而然就直接对其进行base64解码，文件以PK开头，发现是一个zip压缩包，本地对其解压后发现是一张图片。这段话啥意思没看懂 2019-9-30 14:07 0
jishuzhain 雪币： 17428 活跃值： (5009) 能力值： ( LV9，RANK：450 ) 在线值：发帖 52 回帖 137 粉丝 68 关注私信	jishuzhain 7 7 楼 killpy 有一大段的echo指令，对这些内容提取后，生成相应的js文件对其进行解压，由于在查看时末尾发现"=="符号，自然而然就直接对其进行base64解码，文件以PK开头，发现是一个zip ... echo指令是将数据给追加写入一个文件里，该文件会被后续批处理生成的js来执行（base64解码与zip解压），这里因为笔者熟悉其逻辑后，本地就直接抽取echo的数据，然后合并后对其进行base64解码后，发现是一个zip文件压缩包（文件十六进制查看开头是PK，这是zip压缩文件的标志），本地手工对其zip解压，即可发现是一张图片。 2019-10-2 10:51 0
wx_Pal 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_Pal 8 楼各位老师，请问，附件中的批处理文件 (CXK-NMSL) 能在自己电脑上运行吗？会有什么样的结果呢？是不是就把本机文件全部加密了,如果是这样, 怎么解密呢 ? 2019-12-26 18:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]记一次捕获并简要分析cxk恶作剧形式勒索病毒

分析过程