今日一个使用Go语言编写的勒索病毒正在攻击国内企业。该勒索病毒会加密计算机中的重要文件,将文件后缀修改为“.locked”,索要赎金0.2BTC。我们根据其加密后缀将其称为“locked”勒索病毒。
0x1传播分析
黑客通过“永恒之蓝”漏洞入侵企业中的一台计算机,并利用这台计算机作为跳板入侵企业内网中的其他计算机,具体传播流程如下图所示:
黑客成功入侵第一台计算机后从
hxxp://193.56.28.231/wintime.rar下载勒索病毒加载器。勒索病毒加载器会释放两个模块。一个是“locked”勒索病毒,另一个则是“永恒之蓝”传播模块。“永恒之蓝”传播模块会将当前计算机作为FTP服务器,入侵内网其他计算机后通过FTP下载“locked”勒索病毒运行。“永恒之蓝”传播模块是由python语言编写并打包成exe的。
0x2 勒索病毒分析
“locked”勒索病毒是由GO语言编写而成,其中重要的函数及其功能如下表所示:
在加密文件之前,“locked”勒索病毒会结束系统中运行的数据库相关的进程以确保勒索病毒能成功修改文件内容
