-
-
[原创]记一次捕获并简要分析cxk恶作剧形式勒索病毒
-
2019-9-27 14:04
-
事件起源
样本来源于国外安全人员@Amigo_A_
勒索信息如下:
分析过程
VT链接如下
本地拿到样本后,解压发现是个批处理文件,文件名为"CXK-NMSL.bat"。
开头是以最小化方式执行批处理文件
接着往下是进入到系统盘目录,使用base64对文件内容进行编码,之后生成新的文件名,删除源文件。
有一大段的echo指令,对这些内容提取后,生成相应的js文件对其进行解压,由于在查看时末尾发现"=="符号,自然而然就直接对其进行base64解码,文件以PK开头,发现是一个zip压缩包,本地对其解压后发现是一张图片。
再接着往下,是一大段内容,经搜索,好像是PEM证书文件内容,但脚本这里已经对其进行了跳过,未对其做处理。
最后从勒索信中,可以访问到作者的主页。
感觉这人挺无聊的......
IOC
MD5
716df67dd657937fc4e8ed1c7235cf6c
SHA-1
b3615afb97f2143b56df5b75fb62f91b3baa3884
SHA-256
4b9d00b528c77b79dfa9a94c0a47d80b9dd741626b06a2a44e2cc5e146c12c90
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
echo指令是将数据给追加写入一个文件里,该文件会被后续批处理生成的js来执行(base64解码与zip解压),这里因为笔者熟悉其逻辑后,本地就直接抽取echo的数据,然后合并后对其进行base64解码后,发现是一个zip文件压缩包(文件十六进制查看开头是PK,这是zip压缩文件的标志),本地手工对其zip解压,即可发现是一张图片。 |
|
|
|
