首页
社区
课程
招聘
[原创]golang-windows平台Mew767勒索携加密与解密上线了
发表于: 2020-3-1 20:01 5059

[原创]golang-windows平台Mew767勒索携加密与解密上线了

2020-3-1 20:01
5059

近期国外windows平台上出现了使用go语言编写的勒索软件,后缀为mew767,被勒索之后会在桌面释放一个FileRecovery.txt文件以及打开一个提示界面(解密界面)


国外中招的用户在论坛发帖,初步估计还是RDP的问题(win7不背锅)


详细分析:

一、代码结构分析

使用的的package只有两个,其中重点在main这个package


获取main的代码树,可以看到该勒索程序的主要结构


二、代码逻辑分析

1、解密两段base64数据,解密为两个邮箱infectionplex@cock.li、p.infection@protonmail.ch


2、获取磁盘目录


3、解密出三段数据(配置文件)


解密出GUI的配置文件并且填充2个邮箱地址以及随机ID



4、解密两段数据,为勒索提示文件FileRecovery.txt中的内容,填充ID


5、判断文件路径是否在排除路径之外,这个检测很奇怪,感觉只检测windows,但是实际加密windows下的很多东西也被加密了


6、加密文件,使用的是RSA2048加密,加密模式还是一样攻击者RSA公钥加密生成的RSA私钥


攻击者RSA公钥如下


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 2510
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2020-3-11 12:52
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
感谢
2020-3-11 20:45
0
游客
登录 | 注册 方可回帖
返回
//