首页
社区
课程
招聘
[原创]索然无味的勒索病毒
发表于: 2020-7-27 19:10 8933

[原创]索然无味的勒索病毒

2020-7-27 19:10
8933

感觉自己最近没有分析过勒索类的病毒了,就冲浪的时候随手找了一个blocky的勒索病毒来分析分析。

先拷贝自身,算出随机密钥,对特定目录下的文件进行加密,发送密钥至恶意样本作者。

使用Det查看,发现是.net框架的

拷贝自身到C:\15pb-win7\Rand123\local.exe

随机算出第一层密钥

对以下目录进行加密

加密的后缀,基本上常见的后缀都有

对文件进行加密

这里的s就是传入的password,未加密的字符串3gv*cnLjf9POQ0B

先将password由字符串转换为十六进制,在计算出hash值26640E02072A0BD1A8AE1E9B91ED12DC80C9392C2D714FDF028006F61B4E8120

对文件内容进行aes加密,传入的是要加密文件的十六进制信息,及密钥

桌面留存的勒索信息

恶意样本要访问谷歌,然而虚拟机里没搞翻墙,只能返回false

如果不可以访问谷歌,则会一直尝试访问谷歌直到可以访问,就会创建勒索壁纸,并将密钥传回恶意样本作者手中

创建的勒索壁纸

发送需要的数据到恶意样本作者手中

没撒感觉,毕竟.net。索然无味。。。

附件密码:infected


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 5
支持
分享
最新回复 (8)
雪    币: 779
活跃值: (183)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这个病毒留下的txt并没有显示作者的联系方式
2020-7-27 20:17
0
雪    币: 779
活跃值: (183)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
对了,这个勒索病毒能过windows defend直接运行
2020-7-27 20:27
0
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这个源码咋搞出来的l?
2020-7-28 07:46
0
雪    币: 3307
活跃值: (3524)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
5
DnSpy就可以看到源码
2020-7-28 09:53
0
雪    币: 300
活跃值: (2477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
竟然源代码都没有混淆。
2020-7-29 07:22
0
雪    币: 128
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
厉害,学习一下
2020-7-30 21:52
0
雪    币: 1752
活跃值: (297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
看到了15pb
2020-8-9 15:08
0
雪    币: 5
活跃值: (59)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
厉害啊,大牛就是大牛,索然无味都
2020-8-13 10:38
0
游客
登录 | 注册 方可回帖
返回
//