-
-
[原创]【病毒分析】 Babyk加密器分析-EXSI篇
-
发表于: 2024-10-29 17:26
-
继上篇分析了关于Babyk加密器在NAS系统的行为特征,本篇是针对EXSI环境的相关分析。
这里可以通过VS生成了Builder.exe来实现对其Builder过程进行分析,可以看到主要是对这部分文件的处理与释放
文件释放列表及作用:
无法复制加载中的内容
流程图:
逻辑分析:
1 读取参数,第一个参数是文件夹路径,第二个是指定密钥文件
2 根据参数1的文件路径,来和kp.curve25519与ks.curve25519进行拼接,用于后续存储密钥
3 利用随机数函数CryptGenRandom来产生一个私钥,再利用该私钥配合curve25519算法生成一个公钥
4 或者看是否存在第三个参数,有指定私钥的文件,利用该文件内的私钥配合curve25519算法生成一个公钥
5 将私钥和外部的note.txt勒索信写入到加密器中,将私钥写入到解密器中
6 将生成的私钥和公钥写入到kp.curve25519和ks.curve25519文件中
整体流程就是调用随机数函数SystemFunction036,产生了32位的随机数
其中systemFunction036是cryptbase.dll中的函数
之后就是经过了Curve25519算法的密钥生成,得出了一个公钥和一个私钥
存在一个Build.sh脚本和源程序
构建脚本(build.sh):
通过GCC进行编译,编译成e_esxi.out加密程序后,再利用strip去除掉符号表。
首先该程序会根据参数的长度,来判断是否存在输出参数,如果不存在则进行提示。
1 在目录遍历之前,都会先对传入的目录写入勒索信
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
