安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
最近几年勒索病毒已经席卷全球,全球范围内越来越多的政府、企业,组织机构等受到勒索病毒黑客组织的攻击,几乎每天都有企业被勒索病毒攻击的新闻被曝光,可能还有更多的企业被勒索病毒攻击之后,选择默默交纳赎金,由于勒索病毒太过于暴利,从而导致越来越多的黑客组织开始使用勒索病毒攻击。
前不久笔者群里就有人求助勒索病毒攻击事件,笔者写了相应的分析报告
近日这款又有人中招新型勒索病毒,找笔者求助,如下所示:
之前中招的企业,也是付费解密了,目前大多数主流的勒索病毒家族没有密钥的情况下都是无法解密的,有些勒索病毒加密的时候存在一些漏洞可以通过数据恢复的方法恢复部分数据,但也不保证数据的完整性,勒索病毒还是以防为主。
开年不久,就已经有多个勒索求助信息了,勒索还是挺多的,主要还是来钱快,直接搞钱不BB。
样本分析
1.这款新型勒索病毒使用C#语言开发,如下所示:
2.需要使用管理员权限运行,如下所示:
3.排除需要加密的指定的文件目录文件,如下所示:
4.获取需要加密的目标目录,如下所示:
5.指定需要加密的文件后缀,如下所示:
6.生成随机加密密钥,如下所示:
7.使用AES加密算法,加密文件,如下所示:
8.删除磁盘卷影、回收站文件、系统备份等,如下所示:
9.创建勒索提示信息文件,如下所示:
10.记录文件加密的日志信息,如下所示:
这个样本代码无混淆,逻辑清晰,应该是基于开源代码修改的,有兴趣的可以自行研究一下。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
对高级恶意软件分析和研究感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族,笔者今年打算深度跟踪分析一些全球最顶级的TOP恶意软件家族,这些恶意软件家族都是全球最流行的,也是黑客攻击活动中最常见的恶意软件家族,被广泛应用到各种勒索攻击、黑灰产攻击、APT窃密攻击活动当中以达到攻击目的。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):新型CipherLocker勒索病毒样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论