首页 > 安全 > 网络安全 > 正文
DeriaLock勒索木马最新变种分析
2017-01-12       个评论      
收藏    我要投稿

DeriaLock勒索木马最新变种分析。最近出现了一种名为DeriaLock的新型勒索者木马,在最初版本中,DeriaLock只是一个屏幕锁,在其最新变种中, DeriaLock在屏幕锁的基础上加入了文件加密的功能,被加密的文件后缀为.deria。

从显示的勒索界面上,我们发现DeriaLock要求受害者在有限的24小时支付30美元的赎金,否则被加密的文件会被删除,如果你强行退出DeriaLock,被加密的文件也会被删除。

DeriaLock由.NET4.5编写,通过时间戳,可以知道,最新变种的更新时间为2016年12月26号。

\

0x1 对抗分析

出于强度的考虑, DeriaLock对关键的函数与变量进行了混淆。

\

对引用到的字符串进行了加密

\

经过分析与反混淆后,DeriaLock由以下5个类组成:

Decrypt:解密文件

Encrypt:加密文件

KillProc:结束进程

Main:程序入口点

ShowFile:显示被加密文件

0x2 锁屏分析

在Main的FormLoad函数中, DeriaLock会创建多个计时器,调用KillProcess类的方法对系统进程进行枚举并结束指定列表的进程。

\

定时器方法:

\

定时器的时间间隔是1ms,所以在配置差的电脑上会略显卡顿。

\

由上可知,DeriaLock在结束explorer.exe进行锁屏之后还对许多系统配置进程与进程管理软件进行了监控,阻止受害者恢复锁屏。

0x3 加密分析

在加密之前, DeriaLock会计算本机特征码,以确保测试时自己的电脑不被加密。

\

不同于其他勒索木马只加密特定后缀的文件,DeriaLock会对指定目录下的所有文件进行加密。

C:\Users\UserName\Documents

C:\Users\UserName\Music

C:\Users\UserName\Pictures

C:\Users\UserName\Downloads

C:\Users\UserName\Desktop

D:\

DeriaLock使用标准的AES256算法对文件进行加密

\

KEY和IV向量都是由一个固定的字符串经过SHA512计算生成。

\
点击复制链接 与好友分享!回本站首页
上一篇:2016全球网络安全融资排行榜发布
下一篇:Python 格式化字符串漏洞(Django为例)
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做实用的IT技术学习网站