首页
论坛
课程
招聘

[调试逆向] [密码学] [病毒木马] [原创]golang-windows平台Mew767勒索携加密与解密上线了

2020-3-1 20:01 1424

[调试逆向] [密码学] [病毒木马] [原创]golang-windows平台Mew767勒索携加密与解密上线了

2020-3-1 20:01
1424

近期国外windows平台上出现了使用go语言编写的勒索软件,后缀为mew767,被勒索之后会在桌面释放一个FileRecovery.txt文件以及打开一个提示界面(解密界面)


国外中招的用户在论坛发帖,初步估计还是RDP的问题(win7不背锅)


详细分析:

一、代码结构分析

使用的的package只有两个,其中重点在main这个package


获取main的代码树,可以看到该勒索程序的主要结构


二、代码逻辑分析

1、解密两段base64数据,解密为两个邮箱infectionplex@cock.li、p.infection@protonmail.ch


2、获取磁盘目录


3、解密出三段数据(配置文件)


解密出GUI的配置文件并且填充2个邮箱地址以及随机ID



4、解密两段数据,为勒索提示文件FileRecovery.txt中的内容,填充ID


5、判断文件路径是否在排除路径之外,这个检测很奇怪,感觉只检测windows,但是实际加密windows下的很多东西也被加密了


6、加密文件,使用的是RSA2048加密,加密模式还是一样攻击者RSA公钥加密生成的RSA私钥


攻击者RSA公钥如下


7、清空回收站


8、桌面释放勒索信息提示文件


9、再次使用powershell启动自身,打开解密提示界面


10、发现文件中存在一些特殊信息/home/max/.go


三、病毒特点

1、不会自删除

2、不会创建自启动项

3、使用powershell来清空回收站

4、没有删除磁盘卷影

5、攻击来源初步还是RDP暴力破解

6、go编译勒索

7、同时提供了加密和解密功能


ps:

      因为对go有点兴趣,所以想分析看看。


IOC:

       7895410EA422B6F75BDD75ED27B71ED5744D0380BED27514EF5342CE8048061F

refs:

       https://id-ransomware.blogspot.com/2020/02/mew767-ransomware.html

       https://app.any.run/tasks/55e74ae4-8e01-4b82-b7eb-a61f0f90a89a/#%20/content.any.run/tasks/55e74ae4-8e01-4b82-b7eb-a61f0f90a89a/download/files/561eca8f-b331-4f26-9ea3-f187ae86ca86



[求职]想求职找工作,请来看雪招聘投递简历!

最新回复 (2)
mb_xghoecki 2020-3-11 12:52
2
0
感谢分享
killpy 2 2020-3-11 20:45
3
0
感谢
游客
登录 | 注册 方可回帖
返回