β

.encrypted 后缀勒索病毒分析

奇虎360技术博客 15 阅读

更多详情请点击360勒索病毒专题页: http://lesuobingdu.360.cn

0x00 背景:

当前互联网行业发展迅速,拥有高效率编程的解释型语言更得到了广大网友的热爱,Autoit就是其中之一,本文分析的勒索病毒就是使用该语言进行编写,对文件加密完成后,将会在扩展名之前加入.encrypted ,例如1.txt 被加密后,文件名为1.encrypted.txt,并索要1000美元的赎金。

0x01 程序分析:

  1. 该勒索病毒使用Autoit打包生成exe,所以,我们很容易反编译出其脚本文件

  1. 当该勒索病毒运行时,将会获取所有硬盘,并逐步对每个硬盘进行加密

  1. 对于每个驱动器,获取所有相关后缀的文件,并尝试打开,如果打开成功则返回no,则对文件进行加密:

  1. 判断一个文件大小如果小于9999MB,并且大小大于1kb,则对文件名中不包含encrypted,则针对文件进行加密:

  1. 针对每一个文件的加密过程如下,首先根据输入的password,算出md5值,然后传入AES创建的Context指针中作为秘钥,其次,每次读取1024 * 1024大小的字节,并进行加密,直到整个文件被加密完成为止,当文件加密完成,则对文件名以增加.encrypted.的处理。

  1. 其中key和加密后缀的字符串如下:

zip|7z|rar|pdf|doc|docx|xls|xlsx|pptx|pub|one|vsdx|accdb|asd|xlsb|mdb|snp|wbk|ppt|psd|ai|odt|ods|odp|odm|||odc|odb|docm|wps|xlsm|xlk|pptm|pst|dwg|dxfdxg|wpd|rtf|wb2|mdf|dbf|pdd|eps|indd|cdr|dng|3fr|arw|srf|sr2|bay|crw|cr2|dcr|kdc|erf|mef|mrw|nef|nrw|orf|raf|raw|rwl|rw2|r3d|ptx|pef|srw|x3f|der|cer|crt|pem|pfx|p12|p7b|p7c|abw|til|aif|arc|as|asc|asf|ashdisc|asm|asp|aspx|asx|aup|avi|bbb|bdb|bibtex|bkf|bmp|bpn|btd|bz2|c|cdi|himmel|cert|cfm|cgicpio|cpp|csr|cue|dds|dem|dmg|dsb|eddx|edoc|eml|emlx|EPS|epub|fdf|ffu|flv|gam|gcode|gho|gpx|gz|h|hbk|hdd|hds|hpp|ics|idml|iff|img|ipd|iso|isz|iwaj2k|jp2|jpf|jpm|jpx|jsp|jspa|jspx|jst|key|keynote|kml|kmz|lic|lwp|lzma|M3U|M4A|m4v|max|mbox|md2|mdbackup|mddata|mdinfo|mds|mid|mov|mp3|mp4|mpa|mpb|mpeg|mpgmpj|mpp|msg|mso|nba|nbf|nbi|nbu|nbz|nco|nes|note|nrg|nri|afsnit|ogg|ova|ovf|oxps|p2i|p65|p7|pages|pct|PEM|phtm|phtml|php|php3|php4|php5|phps|phpx|phpxx|pl|plistpmd|pmx|ppdf|pps|ppsm|ppsx|ps|PSD|pspimage|pvm|qcn|qcow|qcow2|qt|ra|rm|rtf|s|sbf|set|skb|slf|sme|smm|spb|sql|srt|ssc|ssi|stg|stl|svg|swf|sxw|syncdb|tager|tc|textga|thm|tif|tiff|toast|torrent|txt|vbk|vcard|vcd|vcf|vdi|vfs4|vhd|vhdx|vmdk|vob|wbverify|wav|webm|wmb|wpb|WPS|xdw|xlr|XLSX|xz|yuv|zipx|jpg|jpeg|png|bmp

0x02 后记:

该勒索病毒已经可以被360解密大师安全解密,欢迎使用360解密大师进行安全解密:

作者:奇虎360技术博客
分享奇虎360公司的技术,与安全的互联网共同成长。
原文地址:.encrypted 后缀勒索病毒分析, 感谢原作者分享。

发表评论