近期国外windows平台上出现了使用go语言编写的勒索软件，后缀为mew767，被勒索之后会在桌面释放一个FileRecovery.txt文件以及打开一个提示界面（解密界面）

国外中招的用户在论坛发帖，初步估计还是RDP的问题（win7不背锅）

详细分析：

一、代码结构分析

使用的的package只有两个，其中重点在main这个package

获取main的代码树，可以看到该勒索程序的主要结构

二、代码逻辑分析

1、解密两段base64数据，解密为两个邮箱infectionplex@cock.li、p.infection@protonmail.ch

2、获取磁盘目录

3、解密出三段数据（配置文件）

解密出GUI的配置文件并且填充2个邮箱地址以及随机ID

4、解密两段数据，为勒索提示文件FileRecovery.txt中的内容，填充ID

5、判断文件路径是否在排除路径之外，这个检测很奇怪，感觉只检测windows，但是实际加密windows下的很多东西也被加密了

6、加密文件，使用的是RSA2048加密，加密模式还是一样攻击者RSA公钥加密生成的RSA私钥

攻击者RSA公钥如下

7、清空回收站

8、桌面释放勒索信息提示文件

9、再次使用powershell启动自身，打开解密提示界面

10、发现文件中存在一些特殊信息/home/max/.go

三、病毒特点

1、不会自删除

2、不会创建自启动项

3、使用powershell来清空回收站

4、没有删除磁盘卷影

5、攻击来源初步还是RDP暴力破解

6、go编译勒索

7、同时提供了加密和解密功能

ps:

      因为对go有点兴趣，所以想分析看看。

IOC:

       7895410EA422B6F75BDD75ED27B71ED5744D0380BED27514EF5342CE8048061F

refs:

       https://id-ransomware.blogspot.com/2020/02/mew767-ransomware.html

       https://app.any.run/tasks/55e74ae4-8e01-4b82-b7eb-a61f0f90a89a/#%20/content.any.run/tasks/55e74ae4-8e01-4b82-b7eb-a61f0f90a89a/download/files/561eca8f-b331-4f26-9ea3-f187ae86ca86

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。