本帖最后由 YYT2013 于 2026-4-19 16:34 编辑
这是一个典型的勒索软件(Ransomware)恶意样本,具有高度危险性和破坏性。以下是详细的技术分析:
核心恶意行为
1. 文件加密功能
使用AES-256 + RSA-2048混合加密算法
加密文件类型:.txt, .cpp, .py, .rs, .c, .docx, .jpg, .png, .mp4, .pdf, .zip, .rar等
加密后添加扩展名.s_enc
本地密钥存储在%ProgramData%SysData目录
2. 传播机制
局域网传播:扫描192.168.0, 192.168.1., 172.16.0, 10.0.0.网段
弱密码爆破:使用67个常见弱密码(如admin, 123456, root123等)尝试连接IPC$共享
邮件传播:通过Outlook自动发送带恶意附件的邮件给联系人(主题:"一份神秘大礼")
U盘传播:创建autorun.inf实现自动运行
云存储传播:感染百度网盘、OneDrive等云同步目录
3. 系统破坏
终止安全软件:强制结束Windows Defender、360安全卫士、火绒等进程
禁用安全服务:将WinDefend、360sd服务设置为禁用状态
系统持久化:
注册表启动项:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
创建守护进程(guard.bat)确保恶意程序持续运行
禁用注册表工具:DisableRegistryTools = 1
4. 勒索要求
赎金金额:0.2 BCH(比特币现金)
支付地址:bitcoincash:qz8x9m7s6n5k4j3h2g1f0e9d8c7b6a5s4d3f2g1h0j9k8l7m6n5b4v3c2x1z9a8s7d6f5g4h3j2k1l0m9n8b7v6c5x4d3s2a1z9e8w7q6r5t4y3u2i1o0p9a8s7d6f5g4h3j2k1l0m9n8b7v6c5x4d3s2a1z
联系方式:17568637361@outlook.com
威胁内容:声称自行解密会导致文件永久损坏
技术特点
加密实现
生成RSA-2048密钥对
生成随机AES-256密钥
用RSA公钥加密AES密钥
用AES密钥加密文件内容,使用CBC模式+PKCS7填充
将IV向量(16字节)与密文合并存储
反分析措施
需要管理员权限才能完整执行
隐藏关键文件(+h +s +r属性)
创建多个守护进程相互保护
显示虚假警告信息
特殊功能
屏幕锁定:创建kill.bat进程循环重启explorer.exe
洋葱地址:显示暗网地址gakergame-hakertloo.onion等
权限提升:使用UAC绕过技术获取管理员权限
安全建议
立即采取的措施:
断开网络:物理断开受感染机器的网络连接
不要支付赎金:支付无法保证恢复文件,且资助犯罪活动
系统隔离:从网络中移除受感染设备
专业处理:联系专业的安全响应团队
预防措施:
定期备份重要数据(离线备份)
更新系统和软件补丁
禁用不必要的SMB共享
使用强密码策略
部署终端安全防护软件
禁用U盘自动运行功能
这是一个高度复杂的勒索软件样本,集成了多种传播方式和反检测技术,对个人和企业数据安全构成严重威胁。建议在专业安全人员指导下进行处置。
千问生成,但是这里说句这个kill杀毒方式是不可能实现的,并且火绒的进程也不对啊 |
发表于 
