首页
论坛
课程
招聘
雪    币: 1787
活跃值: 活跃值 (615)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝

[病毒木马] [.NET平台] [原创]索然无味的勒索病毒

2020-7-27 19:10 2100

[病毒木马] [.NET平台] [原创]索然无味的勒索病毒

2020-7-27 19:10
2100

目录

前言

感觉自己最近没有分析过勒索类的病毒了,就冲浪的时候随手找了一个blocky的勒索病毒来分析分析。

过程分析

先拷贝自身,算出随机密钥,对特定目录下的文件进行加密,发送密钥至恶意样本作者。

详细分析

使用Det查看,发现是.net框架的

 

 

拷贝自身到C:\15pb-win7\Rand123\local.exe

 

 

随机算出第一层密钥

 

 

对以下目录进行加密

 

 

加密的后缀,基本上常见的后缀都有

 

 

对文件进行加密

 

 

 

这里的s就是传入的password,未加密的字符串3gv*cnLjf9POQ0B

 

 

先将password由字符串转换为十六进制,在计算出hash值26640E02072A0BD1A8AE1E9B91ED12DC80C9392C2D714FDF028006F61B4E8120

 

 

对文件内容进行aes加密,传入的是要加密文件的十六进制信息,及密钥

 

 

 

桌面留存的勒索信息

 

 

恶意样本要访问谷歌,然而虚拟机里没搞翻墙,只能返回false

 

 

如果不可以访问谷歌,则会一直尝试访问谷歌直到可以访问,就会创建勒索壁纸,并将密钥传回恶意样本作者手中

 

 

创建的勒索壁纸

 

 

发送需要的数据到恶意样本作者手中

 

后记

没撒感觉,毕竟.net。索然无味。。。

 

附件密码:infected



HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

上传的附件:
最新回复 (7)
雪    币: 799
活跃值: 活跃值 (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
奥斯维辛矿工 活跃值 2020-7-27 20:17
2
0
这个病毒留下的txt并没有显示作者的联系方式
雪    币: 799
活跃值: 活跃值 (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
奥斯维辛矿工 活跃值 2020-7-27 20:27
3
0
对了,这个勒索病毒能过windows defend直接运行
雪    币: 3942
活跃值: 活跃值 (132)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kxzpy 活跃值 2020-7-28 07:46
4
0
这个源码咋搞出来的l?
雪    币: 1787
活跃值: 活跃值 (615)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
1行 活跃值 2020-7-28 09:53
5
0
DnSpy就可以看到源码
雪    币: 265
活跃值: 活跃值 (65)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
niuzuoquan 活跃值 2020-7-29 07:22
6
0
竟然源代码都没有混淆。
雪    币: 13
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_kntkzpey 活跃值 2020-7-30 21:52
7
0
厉害,学习一下
雪    币: 658
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
0
看到了15pb
游客
登录 | 注册 方可回帖
返回