-
-
[原创]golang-windows平台Mew767勒索携加密与解密上线了
-
2020-3-1 20:01
4308
-
[原创]golang-windows平台Mew767勒索携加密与解密上线了
近期国外windows平台上出现了使用go语言编写的勒索软件,后缀为mew767,被勒索之后会在桌面释放一个FileRecovery.txt文件以及打开一个提示界面(解密界面)
国外中招的用户在论坛发帖,初步估计还是RDP的问题(win7不背锅)
详细分析:
一、代码结构分析
使用的的package只有两个,其中重点在main这个package
获取main的代码树,可以看到该勒索程序的主要结构
二、代码逻辑分析
1、解密两段base64数据,解密为两个邮箱infectionplex@cock.li、p.infection@protonmail.ch
2、获取磁盘目录
3、解密出三段数据(配置文件)
解密出GUI的配置文件并且填充2个邮箱地址以及随机ID
4、解密两段数据,为勒索提示文件FileRecovery.txt中的内容,填充ID
5、判断文件路径是否在排除路径之外,这个检测很奇怪,感觉只检测windows,但是实际加密windows下的很多东西也被加密了
6、加密文件,使用的是RSA2048加密,加密模式还是一样攻击者RSA公钥加密生成的RSA私钥
攻击者RSA公钥如下
7、清空回收站
8、桌面释放勒索信息提示文件
9、再次使用powershell启动自身,打开解密提示界面
10、发现文件中存在一些特殊信息/home/max/.go
三、病毒特点
1、不会自删除
2、不会创建自启动项
3、使用powershell来清空回收站
4、没有删除磁盘卷影
5、攻击来源初步还是RDP暴力破解
6、go编译勒索
7、同时提供了加密和解密功能
ps:
因为对go有点兴趣,所以想分析看看。
IOC:
7895410EA422B6F75BDD75ED27B71ED5744D0380BED27514EF5342CE8048061F
refs:
https://id-ransomware.blogspot.com/2020/02/mew767-ransomware.html
https://app.any.run/tasks/55e74ae4-8e01-4b82-b7eb-a61f0f90a89a/#%20/content.any.run/tasks/55e74ae4-8e01-4b82-b7eb-a61f0f90a89a/download/files/561eca8f-b331-4f26-9ea3-f187ae86ca86
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。