麦青儿 - 2019-5-7 15:43:00
技术分析
Prodecryptor勒索病毒由.Net编写,通过反编译可以清晰看到程序的执行逻辑。
图:病毒执行代码
程序生成133字节的随机字符串作为AES-32bit的摘要数据块,将作者的RSA公钥导入加密133字节随机字符串数据。
图:RSA加密
计算133字符串的16字节Hash值,将Hash值重复组合为32字节作为AES-KEY来加密文件。
图:AES加密
修改文件的扩展名为Prodecryptor。
图:修改扩展名
优先加密路径:
C:\\Users\\mz\\Desktop
C:\\Users\\mz\\Documents
C:\\Users\\mz\\MusicC:\\Users\\mz\\AppData\\Local\\Microsoft\\Windows\\History
C:\\Users\\mz\\Downloads
C:\\Users\\mz\\Pictures
C:\\Users\\mz\\Videos
C:\\Users\\mz\\Music
C:\\User\\mz
C:\\Users\\mz\\Favorites
C: \\ProgramData
C:\\Users
获得有效磁盘,对磁盘依次遍历,并加密文件。
图:遍历磁盘加密
创建CMD删除卷影拷贝,"cmd.exe /c vssadmin.exe delete shadows /all /quiet"。
图:删除卷影拷贝
在所有磁盘根目录以及桌面创建勒索文本ReadME-Prodecryptor@gmail.com.txt。
图:勒索信息
最后,恶意程序弹窗出一个勒索窗口。
图:加密完成弹窗勒索
314698711@qq.com - 2019-5-8 11:05:00
剑能防:kaka16:
© 2000 - 2024 Rising Corp. Ltd.