欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

BlackoutV3.0勒索病毒分析报告

来源:本站整理 作者:佚名 时间:2018-11-06 TAG: 我要投稿

一、样本简介
Blackout勒索病毒家族是一款使用.NET语言编写的勒索病毒,它会将原文件名加密为BASE64格式的加密后的文件名,首次发现是在2017年7月份左右,样本使用了代码混淆的方式防止安全分析人员对样本进行静态分析,此次发现的Blackout勒索病毒样本经过分析确认是V3.0版本的Blackout家族最新变种样本,采用RSA+AES加密算法对文件进行加密,加密后的文件无法解密还原。
二、详细分析
1.样本使用.NET语言进行编写,如下所示:

2.反编译NET程序,样本经过了混淆处理,如下所示:

3.样本去混淆,如下所示:

经过调试发现此款Blackout勒索病毒是V3.0版本的最新变种样本blut3,如下所示:

4.获取磁盘驱动信息,如下所示:

5.通过RNGCryptoServiceProvider生成随机数,如下所示:

生成结果,如下所示:

6.获取机器名,如下所示:

7.获取用户名,如下所示:

8.生成临时备份文件目录,如下所示:

9.设置Form窗体的属性,如下所示:

10.获得需要加密的文件的后缀名列表,如下所示:

相应的文件名后缀如下所示:
".mdf",".db",".mdb",".sql",".pdb",".dsk",".fp3",".fdb",".accdb",".dbf",".crd",".db3",".dbk",".nsf",".gdb",".abs",".sdb",".sqlitedb",".edb",".sdf",".sqlite",".dbs",".cdb",".bib",".dbc",".usr",".dbt",".rsd",".myd",".pdm",".ndf",".ask",".udb",".ns2",".kdb",".ddl",".sqlite3",".odb",".ib",".db2",".rdb",".wdb",".tcx",".emd",".sbf",".accdr",".dta",".rpd",".btr",".vdb",".daf",".dbv",".fcd",".accde",".mrg",".nv2",".pan",".dnc",".dxl",".tdt",".accdc",".eco",".fmp",".vpd",".his",".fid"
11.获取当前进程信息,如下所示:

获得当前进程名,如下所示:

12.获取主机进程信息,如下所示:

并判断主机操作系统平台,是否为XP,Win32NT,远程主机等,如下所示:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载