前言

前几天在微步上看到一个有意思的贴子，有人中了一个伪装成NodeJS程序的勒索病毒，然后把样本上传到了微步，并寻找帮助，如下：

这个样本目前VT上还没有，但是从当时的检测结果是显示0/25，笔者对新出现的一些恶意软件都会比较好奇，这究竟是一款怎么样的勒索病毒？趁周未有空，跟大家一起简单分析研究一下。

勒索

首先从微步上下载到样本，运行之后，桌面上的一些快捷方式被修改加密了，如下：

修改后的快捷方式，内容如下：

并弹出勒索提示信息框，如下：

解密方法，需要受害者提供呼伦贝尔的空气，如下：

勒索提示信息中黑客提供了一个邮箱地地址：admin@rdpstudio.top，同时提供了一个呼伦贝尔空气钱包地址：
WE_LOVEAIR!SS&CB$^^GQHCBysHDhbRi29,我们爱空气，猜测作者难倒是个环保人士。

分析

样本伪装成NodeJS程序，如下所示：

动态调试，程序会读取程序中的js脚本，如下所示：

脚本代码，如下所示：

通过调试分析该程序把勒索病毒脚本代码，打包patch到nodejs程序中，网上有相关的开源的勒索病毒demo实例，github地址：
https://github.com/rulyox/node-encrypter
https://github.com/EL-MTN/Ransomware，笔者从该程序中dump到config文件信息，如下所示：

里面包含加密的密钥信息，公钥和RSA私钥，同时该勒索病毒会加密Desktop和Documents两个目录下的后缀名为："txt", "pdf", "ppt", "pptx", "doc", "docx", "xls", "xlsx", "jpg", "jpeg", "png", "mp3", "mp4", "wmv", "avi", "mkv", "mov", "zip", "7z", "e", "lnk"等的文件，但是程序好像存在BUG，也可能是笔者的环境导致的，笔者在运行勒索病毒的过程中，程序还会弹出了一些错误信息，如下所示：

不知道中招的那个兄弟是怎么中招的，从哪里下载到这个勒索病毒样本的？通过分析发现这款勒索病毒只是加密了指定目录下的指定的后缀名文件，并没有对系统进行全盘加密，可能作者只是搞的好玩。

总结

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课