记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

网络安全之新型敲诈者分析

2016-11-29 23:40

0x00 前言

达芬奇密码(. da_vinci_code)敲诈者是今年下半年刚出现的一款敲诈者木马,最早出现在国外的报道,并未影响国内用户。但自今年九月开始,360白名单分析组发现该木马在国内开始出现并逐步活跃,而且还出现了多个变种。由于此类敲诈者木马会将你所有的文档、文件和图片等个人生活与工作的重要数据通通加密保存,如果你不在48小时内通过暗网支付比特币赎金,你的重要数据将永久被加密保存,并且该变种频繁更新,一旦在国内爆发会带来巨大危害。

http://p9.qhimg.com/t01e6c1183a4bd79c87.png

图1下半年截止到10月22号捕获的达芬奇密码敲诈者部分变种

感染达芬奇密码敲诈者后,电脑中文档,压缩包,图片等文件均遭到加密,并修改文件后缀为“da_vinci_code”,并在每个磁盘目录和桌面下生成10个README.txt。图2显示的是感染达芬奇密码敲诈者后的桌面截图。

\

图2达芬奇密码敲诈者感染后的桌面

README.txt主要内容如下:

http://p2.qhimg.com/t01e8d09df80728f211.png

图3达芬奇密码敲诈者提示用户信息

0x01 基本流程

达芬奇密码敲诈者的功能主要分为安装包解密,ShellCode执行,勒索者本体三部分。大致的过程如下图所示:

http://p8.qhimg.com/t01fba2fadca67cda94.jpg

图4达芬奇密码敲诈者恶意代码流程

0x02 安装包解密

2.1 利用nsis脚本的IntOp和IntFmt函数拼接出System.dll::Call的调用参数,然后调用Call来执行。

http://p8.qhimg.com/t013362e099672bd11d.png

图5 NSIS脚本内容

执行的主要函数如下:

kernel32::CreateFileW(t '\', i 0x80000000, i 0x7, i 0, i 3, i 0x80, i 0) i .r7

kernel32::VirtualAlloc(i 0, i , i 0x3000, i 0x40) p .r8

kernel32::ReadFile(i r7, p r8, i , t.,)

kernel32::CloseHandle(i r7)::(t '\')

2.2 Call执行功能

kernel32::CreateFileW打开"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\

Ggm0KQEbU4UcJiEbNYAXOTz.jsiDbvtAQ8jS"

http://p9.qhimg.com/t016cf7a88c54bb68f6.png

图6创建ShellCode解码文件

kernel32::VirtualAlloc申请一段空间,大小为0xCC84D

http://p4.qhimg.com/t01871d769f27bb7a50.png

图7申请固定大小空间

kernel32::ReadFile读取Ggm0KQEbU4UcJiEbNYAXOTz.jsiDbvtAQ8jS文件至新申请的空间

http://p7.qhimg.com/t01e146b977cdee65de.png

图8读ShellCode解码文件

kernel32::CloseHandle关闭句柄,然后跳转新申请的空间去执行ShellCode。

知识来源: www.2cto.com/article/201611/570522.html

阅读:81809 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“网络安全之新型敲诈者分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云