Go语言开发的勒索病毒

2019-01-25   

威胁等级:★★★★
GoRansom勒索病毒是最新捕获到的利用Go语言开发的勒索病毒,该病毒使用AES算法加密文件,将AES的密钥通过RSA算法加密发送给控制服务器。由于该病毒代码加密体系成熟,未来一旦被其它攻击者利用,将会产生更大的危害。

背景介绍

近日捕获到一个勒索病毒,通过分析发现此病毒使用Go语言开发,使用AES算法加密文件,将AES的密钥通过RSA算法加密发送给控制服务器。通过分析病毒代码,发现此病毒使用开源代码编译生成。病毒作者称其为了研究勒索病毒原理,而编写此病毒并公开代码。由于此病毒代码加密体系成熟,未来一旦被其它攻击者利用,将会产生更大的危害。病毒作者在两个月前更新了最新的代码,2019年1月16号就捕获到利用此源码,生成的的病毒exe程序。从捕获日期推测,可能已经有攻击者在研究测试此病毒。因此希望广大用户提高警惕,不打开可疑程序。

病毒MD5:F0485E9E8AE275DF28805D557EA8183F

威胁等级:★★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

此病毒使用Go语言开发

图:病毒中包含的Go语言信息

运行之后 随机生成用户编号和文件加密时将要用到的AES密钥, 通过RSA算法加密密钥和用户编号,发送给控制服务器

图:生成密钥和编号,加密发送给控制服务器

发送函数将密钥和编号拼凑后,调用加密函数

图:发送函数调用加密函数

加密函数将密钥和编号通过RSA算法加密,发给给控制服务器

图:加密并发送

遍历文件准备加密

排除指定的文件夹

图:排除的文件夹

加密指定的后缀

图:加密的后缀

使用AES算法加密文件

使用base64算法重命名被加密的文件的文件名,并追加上勒索后缀

图:重命名文件,追加上后缀

被修改后 后缀追加上 .encrypted 后缀

图:被加密的文件

病毒会将被加密文件的原文件名,存放在桌面LIST_OF_FILES.html文件中,用来给受害者展示哪些文件被加密。

图:被加密文件的原文件名

在桌面释放勒索信息文件README.html

图:释放勒索信

勒索信打开后可以看到,攻击者要求受害者支付赎金,并通过文件中留下的邮箱地址联系攻击者, 通过留下的比特币钱包地址支付赎金。

图:勒索信打开后

防范措施

  1. 不下载可疑程序
  2. 不打开来源不明的邮件
  3. 及时更新系统补丁
  4. 及时修改系统密码,避免使用过于简单的密码
  5. 安装杀毒软件,保持防护开启,查杀病毒
  6. 安装勒索病毒防御软件,拦截病毒加密文件

[责任编辑:瑞瑞]