首页
社区
课程
招聘
[原创]记一次捕获并简要分析cxk恶作剧形式勒索病毒
发表于: 2019-9-27 14:04 5994

[原创]记一次捕获并简要分析cxk恶作剧形式勒索病毒

2019-9-27 14:04
5994


VT链接如下

https://www.virustotal.com/gui/file/4b9d00b528c77b79dfa9a94c0a47d80b9dd741626b06a2a44e2cc5e146c12c90/details


本地拿到样本后,解压发现是个批处理文件,文件名为"CXK-NMSL.bat"。

MD5

716df67dd657937fc4e8ed1c7235cf6c

SHA-1

b3615afb97f2143b56df5b75fb62f91b3baa3884

SHA-256

4b9d00b528c77b79dfa9a94c0a47d80b9dd741626b06a2a44e2cc5e146c12c90



勒索信息如下:


分析过程

VT链接如下

https://www.virustotal.com/gui/file/4b9d00b528c77b79dfa9a94c0a47d80b9dd741626b06a2a44e2cc5e146c12c90/details


本地拿到样本后,解压发现是个批处理文件,文件名为"CXK-NMSL.bat"。

 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 4
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  kanxue   +1.00 2019/09/27 感谢分享~
最新回复 (7)
雪    币: 26588
活跃值: (63252)
能力值: (RANK:135 )
在线值:
发帖
回帖
粉丝
2
感谢分享!
2019-9-27 14:26
0
雪    币: 914
活跃值: (2448)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
3
挺无聊的(CXK牛批)
2019-9-27 15:02
0
雪    币: 17
活跃值: (278)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
鸡你太美
2019-9-27 15:05
0
雪    币: 38
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
连加密和编码都搞不清楚...笑死个人
2019-9-27 16:18
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
6
有一大段的echo指令,对这些内容提取后,生成相应的js文件对其进行解压,由于在查看时末尾发现"=="符号,自然而然就直接对其进行base64解码,文件以PK开头,发现是一个zip压缩包,本地对其解压后发现是一张图片。 
这段话啥意思 没看懂
2019-9-30 14:07
0
雪    币: 17428
活跃值: (5009)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
7
killpy 有一大段的echo指令,对这些内容提取后,生成相应的js文件对其进行解压,由于在查看时末尾发现"=="符号,自然而然就直接对其进行base64解码,文件以PK开头,发现是一个zip ...
echo指令是将数据给追加写入一个文件里,该文件会被后续批处理生成的js来执行(base64解码与zip解压),这里因为笔者熟悉其逻辑后,本地就直接抽取echo的数据,然后合并后对其进行base64解码后,发现是一个zip文件压缩包(文件十六进制查看开头是PK,这是zip压缩文件的标志),本地手工对其zip解压,即可发现是一张图片。
2019-10-2 10:51
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
各位老师,请问,附件中的  批处理文件  (CXK-NMSL)  能在自己电脑上运行吗? 会有什么样的结果呢  ? 是不是就把本机文件全部加密了,如果是这样, 怎么解密呢 ?
2019-12-26 18:50
0
游客
登录 | 注册 方可回帖
返回
//