活跃值： (550)

能力值：

( LV4，RANK：50 )

在线值：

[原创]索然无味的勒索病毒

5小时前 226

前言

感觉自己最近没有分析过勒索类的病毒了，就冲浪的时候随手找了一个blocky的勒索病毒来分析分析。

过程分析

先拷贝自身，算出随机密钥，对特定目录下的文件进行加密，发送密钥至恶意样本作者。

详细分析

使用Det查看，发现是.net框架的

拷贝自身到C:\15pb-win7\Rand123\local.exe

随机算出第一层密钥

对以下目录进行加密

加密的后缀，基本上常见的后缀都有

对文件进行加密

这里的s就是传入的password，未加密的字符串3gv*cnLjf9POQ0B

先将password由字符串转换为十六进制，在计算出hash值26640E02072A0BD1A8AE1E9B91ED12DC80C9392C2D714FDF028006F61B4E8120

对文件内容进行aes加密，传入的是要加密文件的十六进制信息，及密钥

桌面留存的勒索信息

恶意样本要访问谷歌，然而虚拟机里没搞翻墙，只能返回false

如果不可以访问谷歌，则会一直尝试访问谷歌直到可以访问，就会创建勒索壁纸，并将密钥传回恶意样本作者手中

创建的勒索壁纸

发送需要的数据到恶意样本作者手中

后记

没撒感觉，毕竟.net。索然无味。。。

附件密码：infected

[投票] 低调奢华有内涵，2020新版T恤来袭，你想要哪一款？