某勒索病毒分析
2021-03-29 16:01:54 Author: www.freebuf.com(查看原文) 阅读量:138 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

近日接到某群友反馈,电脑中了勒索病毒,需要向指定微信或支付宝账号支付指定金额给予文件解密密钥。

病毒程序界面如下:

1617000282_6061775a8d837a5ba9eff.png!small

病毒主要感染文件为C盘下指定后缀的文件,将这些文件进行加密处理。

(此图仅是一小部分后缀)

1617000287_6061775f96b3854cc8e68.png!small

程序主要结构

1617000293_6061776542585892eb62e.png!small

被加密的文件开头插入”NMSL”字符串用于标识该文件是否是已加密的文件,而后追加的是该文件被加密后的密文。该病毒对global::a.c使用SHA256对密码生成hash密钥。随后将文件内容与密钥带入global::a.b进行进一步操作。

1617000297_60617769bff96de415256.png!small

global::a.c亦是加密文件时使用的密钥:fatego

1617000303_6061776f1d34e733749e1.png!small

随后在global::a.b函数中对文件内容进行了AES加盐加密并返回最终加密数据。

1617000309_60617775ac7d859f729eb.png!small

最后将内容写回文件

1617000314_6061777a10d31eb2feaec.png!small

此外该病毒会将自身挂入自启动项

1617000318_6061777e66fee1abc2cba.png!small

输入完密码后等待解密

1617000322_6061778203eca928a46c4.png!small

解密完成后病毒自动退出,文件已被还原

1617000325_6061778599a575f3add3b.png!small


文章来源: https://www.freebuf.com/articles/others-articles/267891.html
如有侵权请联系:admin#unsafe.sh