近日，fortinet截獲一種使用python語言編寫的勒索軟件，并將其命名為 “Fsociety Locker”。之所以命名為“Fsociety Locker”，是因為勒索軟件作者是美劇“黑客軍團(tuán)”的粉絲，勒索軟件作者使用了“fs0ciety”作為文件加密后的后綴名。 今天我們就對這款勒索軟件進(jìn)行分析。

行為特征在win7系統(tǒng)上運(yùn)行的效果為：

1.png (33.05 KB, 下載次數(shù): 99)

2016-12-26 11:41 上傳運(yùn)行后對文件的加密處理：

2.png (44.21 KB, 下載次數(shù): 116)

2016-12-26 11:41 上傳此exe是由pyinstall生成。Pyinstall生成的exe文件有下面幾個顯著特征：

特征一：字符串特點(diǎn)，在字符串中會出現(xiàn)使用的python的模塊文本

使用strings.exe查看exe的字符串信息，可以看到有好多python的模塊的文本內(nèi)容：

3.png (26.29 KB, 下載次數(shù): 106)

2016-12-26 11:41 上傳特征二：算法特點(diǎn)。Pyinstall會將python的解釋程序使用zlib算法壓縮打包

使用peid的kanal查看加密算法，可以看到程序所使用的算法

4.png (4.73 KB, 下載次數(shù): 121)

2016-12-26 11:41 上傳特征三：進(jìn)程特征。Pyinstall生成的exe會啟動自身做為子進(jìn)程，同時父進(jìn)程會創(chuàng)建一個互斥體等待子進(jìn)程的結(jié)束，一旦子進(jìn)程結(jié)束后，父進(jìn)程也隨之結(jié)束：

5.png (6.97 KB, 下載次數(shù): 93)

2016-12-26 11:41 上傳源代碼分析使用pyinstxtractor.py 腳本可以用來提取pyinstall打包的exe文件的內(nèi)容，腳本同時也可以提取出可執(zhí)行文件中的pyz文件的內(nèi)容。

使用pyinstxtractor.py將exe反編譯成py文件

6.png (127.49 KB, 下載次數(shù): 115)

2016-12-26 11:41 上傳進(jìn)入解壓出來的文件夾中的翻找一番，看到scolding文件，這就是原始的py文件

查看scolding文件的內(nèi)容，可以知道scolding是一個python寫的勒索者軟件。

對scolding文件的分析在main函數(shù)中

首先，調(diào)用regwrite函數(shù)，將自身寫入啟動項

7.png (36.39 KB, 下載次數(shù): 98)

2016-12-26 11:41 上傳

2. 調(diào)用shadow_wipe刪除系統(tǒng)還原備份

8.png (13.25 KB, 下載次數(shù): 121)

2016-12-26 11:41 上傳3. 遍歷C-Z盤符，得到指定擴(kuò)展名的文件列表

10.png (7.01 KB, 下載次數(shù): 109)

2016-12-26 11:41 上傳

11.png (24.88 KB, 下載次數(shù): 114)

2016-12-26 11:41 上傳4.??對匯總得到文件，通過函數(shù)file_buster_network使用密鑰“123456789123456”進(jìn)行加密

12.png (45.31 KB, 下載次數(shù): 97)

2016-12-26 11:41 上傳通過對源代碼的分析，我們基于下列理由相信，此勒索軟件正在處于調(diào)試開發(fā)階段，這可能也是這款勒索軟件現(xiàn)在還沒有大范圍流行起來的原因。1.代碼中通過注釋的方式取消了通過共享傳播的函數(shù)，

13.png (3.22 KB, 下載次數(shù): 93)

2016-12-26 11:41 上傳

2.代碼中也寫好了獲取Tor瀏覽器及運(yùn)行tor代理的代碼，而這些代碼并沒有得到調(diào)用執(zhí)行

14.png (32.11 KB, 下載次數(shù): 99)

2016-12-26 11:41 上傳

3.程序中寫好了修改桌面壁紙顯示勒索信息的代碼，這些代碼也沒有被調(diào)用執(zhí)行。

15.png (8.3 KB, 下載次數(shù): 104)

2016-12-26 11:41 上傳

16.png (21.99 KB, 下載次數(shù): 117)

2016-12-26 11:41 上傳總結(jié)Python 語言擁有開發(fā)快，語言簡潔，簡單易學(xué)，類庫眾多等優(yōu)點(diǎn)，這使的勒索軟件作者可以使用python方便的進(jìn)行惡意軟件開發(fā)，根據(jù)2016年6月TIOBE編程語言排行榜，python已經(jīng)打入編程語言前五名。Python的快速普及也使python開發(fā)的惡意程序也普遍起來。可以預(yù)見，在不久的未來，此類的勒索軟件也極可能會出現(xiàn)linux和mac os的變種。

比較有意思的是，國內(nèi)殺軟對此樣本目前仍全部失身。

17.png (87.01 KB, 下載次數(shù): 116)

2016-12-26 11:41 上傳

總結(jié)

以上是生活随笔為你收集整理的python国产_Python勒索软件来袭，国产杀软集体失身的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。