β

Lock. 勒索病毒分析

奇虎360技术博客 53 阅读

更多详情请点击360勒索病毒专题页: http://lesuobingdu.360.cn

随着网络办公的普及,人们越来越习惯使用电脑处理文档以及工作上的事情,该勒索病毒伪装成Excel图标,当受害者不小心点开后,便会加密文件,并提示用户缴纳赎金。

  1. 该勒索病毒基于AutoIt开发的,所以我们可以轻松对其进行反编译,并获取到脚本源代码。当该勒索病毒开始运行时,首先将获取指定路径的全部文件。

  1. 循环读取每一个文件,如果文件名字中不存在,则将文件名中的Fixed.替换为空,并开始加密文件。
  • 当遇到一个符合被加密条件的文件的时,将会对文件进行加密,加密密码为上一级参数传进来的”888”,加密算法为DES

    1. 在加密文件开始时,将会获取加密密钥,加密密钥由加密密码生成,算法过程为对加密密码算MD5,算出来的HASH值作为DES的加密密钥,返回句柄对文件内容进行加密操作。

    1. 对文件进行遍历读取(每次最大数据为0x400 * 0x400),并使用生成的密钥句柄加密每次读取出来的文件内容,并写入带有”Lock.”前缀的文件中。

    1. 该勒索病毒将会加密桌面、%UserProfile%/appdata文件夹下的Roaming文件夹与Local、%UserProfile%/music文件夹、%UserProfile%/pictures文件夹、%UserProfile%/Videos文件夹、%UserProfile%/Documents文件夹、本地磁盘(FIXED)中的所有文件。并在加密结束后替换桌面背景,并检测exe firefox.exe iexplore.exe opera.exe tor.exe skype.exe是否存在,如果存在则关闭进程。

    当该勒索病毒被运行后,首先应该下载360安全卫士,对该病毒进行查杀,防止病毒二次感染,并在功能大全里面下载解密大师,对文件进行解密。

    作者:奇虎360技术博客
    分享奇虎360公司的技术,与安全的互联网共同成长。
    原文地址:Lock. 勒索病毒分析, 感谢原作者分享。

    发表评论