勒索之殤 | 從一個.NET病毒看透勒索三步曲

近三年的病毒走勢大致可以總結為，2016年」流氓」，2017」勒索」，2018年」挖礦」，這篇文章我們就通過分析一個.Net的勒索軟體，看看一個勒索軟體到底是如何工作的。

本文涉及到的這個樣本是BTCware的一個變種，被勒索之後會一如既往的加密計算機中的文件，並且彈出如下圖所示的很炫酷的勒索提示，而且在計算機很多公共目錄都會留下UnlockYouFiles.txt的勒索提示文件。

詳細分析：

跟很多勒索病毒邏輯一樣，此病毒基本流程為 生成加密密鑰—遍歷並加密文件—刪除卷影信息—彈出勒索提示。通過dnspy可以看到此程序定義的幾個關鍵模塊，如下圖：

(a)密鑰生成

(b)遍歷文件

此類病毒會遍歷系統中後綴為下圖中格式的文件並執行加密邏輯。

遍歷文件邏輯如下：

(c)當遍歷到指定格式的文件時就調用encryptFiles進行加密，加密邏輯如下：

可以看出，加密時使用AES加密演算法(加salt,未截圖)，密鑰是密鑰生成模塊passwordCreator當中生成，然後取其SHA256的值作為AES的加密密鑰對文件進行加密操作。

(d)刪除卷影還原點

(d)勒索提示

此病毒的勒索提示有兩種，第一類是在執行完加密邏輯之後，彈出一個Form窗體(上面有)，提示受害者通過比特幣交納贖金，第二種是在用戶目錄留下UnlockYouFiles.txt，其內容如下：

同源性分析

在分析這個病毒的時候，我們發現此病毒與開源勒索軟體HiddenTear(https://github.com/SneakSensed/HiddenTear)具有很高的相似性，這個病毒應該是由此開源程序改編，並在此基礎上，自定義比特幣交易的勒索提示信息。

當然，這個病毒本身不具有像wannacry那樣很強的傳播性，其傳播途徑主要還是依賴於各大下載站，激活工具，綠色軟體等等，只要保持良好的上網習慣，不輕易安裝不可信來源的軟體，安裝殺毒軟體，是很容易防止此類勒索病毒的。

*本文作者：0zapt4toM，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！