-
-
[原创]golang-windows平台Mew767勒索携加密与解密上线了
-
发表于: 2020-3-1 20:01
-
近期国外windows平台上出现了使用go语言编写的勒索软件,后缀为mew767,被勒索之后会在桌面释放一个FileRecovery.txt文件以及打开一个提示界面(解密界面)
国外中招的用户在论坛发帖,初步估计还是RDP的问题(win7不背锅)
详细分析:
一、代码结构分析
使用的的package只有两个,其中重点在main这个package
获取main的代码树,可以看到该勒索程序的主要结构
二、代码逻辑分析
1、解密两段base64数据,解密为两个邮箱infectionplex@cock.li、p.infection@protonmail.ch
2、获取磁盘目录
3、解密出三段数据(配置文件)
解密出GUI的配置文件并且填充2个邮箱地址以及随机ID
4、解密两段数据,为勒索提示文件FileRecovery.txt中的内容,填充ID
5、判断文件路径是否在排除路径之外,这个检测很奇怪,感觉只检测windows,但是实际加密windows下的很多东西也被加密了
6、加密文件,使用的是RSA2048加密,加密模式还是一样攻击者RSA公钥加密生成的RSA私钥
攻击者RSA公钥如下
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
