-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18636小时
-
- 发帖786303
- 搜Ta的帖子
- 精华0
- 飞翔币211574
- 威望215717
- 飞扬币2615136
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786303
- 飞翔币
- 211574
- 威望
- 215717
- 飞扬币
- 2615136
- 信誉值
- 8
|
—
本帖被 任逍遥 执行锁定操作(2024-06-28)
—
样本信息
木马概述 此样本为 Nefilim 团伙勒索病毒,加密后缀为.MERIN,执行后会遍历操作系统中特定后缀文件进行加密,采用的加密算法为RSA。
木马执行细节Base64解密恶意字符串 样本中的恶意字符串都存在Base64加密,以此绕过静态分析。  初始化CNG 从这里可以看出样本对文件的加密方式为非对称加密:  导入密钥对  确定磁盘类型 从A盘开始循环遍历:   创建线程遍历目录创建勒索文本并对文件进行加密 如果找到有效磁盘则创建线程:  遍历目录创建勒索文本   判断文件后缀 加密时略过以下后缀:  加密文件 ① 首先生成2个随机数:  ② 对生成的2个随机数进行RSA加密,并储存在申请的内存当中,大小均为0x100个字节:  ③ 文件末尾写入第一个随机数加密后的0x100字节:   ④ 文件末尾追加第二个随机数加密后的0x100字节:   ⑤ 文件末尾加5字节 ”MERIN”:   ⑥ 加密文件内容: 首先读取文件内容:  调用其加密函数对文件内容进行加密:   然后将加密后的内容写入文件:  ⑦ 最后在文件后缀上加上 .MERIN:   加密后的文件结构 
执行流程总结
|
