[TOC]
前言
感觉自己最近没有分析过勒索类的病毒了,就冲浪的时候随手找了一个blocky的勒索病毒来分析分析。
过程分析
先拷贝自身,算出随机密钥,对特定目录下的文件进行加密,发送密钥至恶意样本作者。
详细分析
使用Det查看,发现是.net框架的
拷贝自身到C:\15pb-win7\Rand123\local.exe
随机算出第一层密钥
对以下目录进行加密
加密的后缀,基本上常见的后缀都有
对文件进行加密
这里的s就是传入的password,未加密的字符串3gv*cnLjf9POQ0B
先将password由字符串转换为十六进制,在计算出hash值26640E02072A0BD1A8AE1E9B91ED12DC80C9392C2D714FDF028006F61B4E8120
对文件内容进行aes加密,传入的是要加密文件的十六进制信息,及密钥
桌面留存的勒索信息
恶意样本要访问谷歌,然而虚拟机里没搞翻墙,只能返回false
如果不可以访问谷歌,则会一直尝试访问谷歌直到可以访问,就会创建勒索壁纸,并将密钥传回恶意样本作者手中
创建的勒索壁纸
发送需要的数据到恶意样本作者手中
后记
没撒感觉,毕竟.net。索然无味。。。
1.bin.zip
(7.86 KB, 下载次数: 58)
密码:infected | 
[复制链接]
发表于 2020-7-27 19:17
