欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

利用Telegram通信的勒索病毒Vendetta,你有见过吗?

来源:本站整理 作者:佚名 时间:2018-12-31 TAG: 我要投稿

一、样本简介
深信服EDR安全团队,最近捕获到一款新型勒索病毒家族样本Vendetta。Vendetta是一款使用.NET框架开发的勒索病毒样本,会加密主机系统中大部分文件后缀名的文件,加密后缀为.vendetta,同时其具有Telegram通信功能,通过Telegram发送相应的主机进程信息以及加密信息,最后进行自删除。勒索信息内容如下所示:

二、详细分析
1.样本使用.NET框架开发,无加壳,如下所示:

2.判断程序是否已经运行,如果已经运行,则退出,如下所示:

3.生成日志文件log.html,如下所示:

4.判断系统所在区域,如果为以下国家区域,则退出,如下所示:

相应的国家区域列表,如下所示:
Russian、Russian (Belarus)、Russian (Kyrgyzstan)、Russian (Kazakhstan)、
Russian (Moldova)、Russian (Russia)、Russian (Ukraine)、Bashkir (Russia)、
Chechen (Russia)、Church Slavic (Russia)、Ossetic (Russia)、Sakha (Russia)、
Tatar (Russia)、Ukrainian、Ukrainian (Ukraine)、Azerbaijani、Azerbaijani (Cyrillic)、Azerbaijani (Cyrillic, Azerbaijan)、Azerbaijani (Latin)
Azerbaijani (Latin, Azerbaijan)、Armenian、Armenian (Armenia)、
Belarusian、Belarusian (Belarus)、Kazakh (Kazakhstan)、Kyrgyz、
Kyrgyz (Kyrgyzstan)、Kazakh、Romanian (Moldova)、Tajik、
Tajik (Cyrillic)、Tajik (Cyrillic, Tajikistan)、Uzbek、
Uzbek (Perso-Arabic)、Uzbek (Perso-Arabic, Afghanistan)、Uzbek (Cyrillic)、
Uzbek (Cyrillic, Uzbekistan)、Uzbek (Latin)、Uzbek (Latin, Uzbekistan)、
Turkmen、Turkmen (Turkmenistan)
5.枚举进程信息,然后生成进程信息文件processes.csv,并写入进程信息,如下所示:

6.枚举进程,结束掉相应的进程列表中的进程,如下所示:

相应的进程列表,如下所示:
notepad、devenv、msbuild、taskmgr、spoolsv、skypebackgroundhost、skypeapp、
searchui、samsungrapidsvc、redis-server、postgres、perfwatson2、open server x64、
open server x32、open server x86、open server、nginx、named、mysqld、mongod、
memcached、jenkins、java、httpd、googleupdate、ftp、chrome、calculator、
firefox、winword、microsoftedge、microsoftedgecp、cmsserver、zf、dsq、
sqlsrvr、qqeimguard、企业QQ、qqeimplatform、tv_x64、teamviewer 13、wpscloudsvr、
WPS服务程序、提供账号登录、云存储等服务、teamviewer_service、igfxtray、igfxhk、
igfxem、igfxcuiservice、tv_w32、ss_privoxy、privoxy、userclient、qqprotect、
mqsvc、gnaupdaemon、mysqld-nt
7.随机生成password,如下所示:

使用RSA的公钥加密相应的password,并生password文件,如下所示:

RSA的公钥从公钥配置文件public.xml中读取,如下所示:

8.获取要加密的文件后缀名列表,一共三千多个,如下所示:

9.创建文件加密线程,如下所示:

遍历磁盘文件,如下所示:

如果文件存放在以下目录,则不进行加密,如下所示:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载