转载

.encrypted 后缀勒索病毒分析

更多详情请点击360勒索病毒专题页： http://lesuobingdu.360.cn

0x00 背景：

当前互联网行业发展迅速，拥有高效率编程的解释型语言更得到了广大网友的热爱，Autoit就是其中之一，本文分析的勒索病毒就是使用该语言进行编写，对文件加密完成后，将会在扩展名之前加入.encrypted ，例如1.txt 被加密后，文件名为1.encrypted.txt，并索要1000美元的赎金。

.encrypted 后缀勒索病毒分析

0x01 程序分析：

该勒索病毒使用Autoit打包生成exe，所以，我们很容易反编译出其脚本文件

.encrypted 后缀勒索病毒分析

当该勒索病毒运行时，将会获取所有硬盘，并逐步对每个硬盘进行加密

.encrypted 后缀勒索病毒分析

对于每个驱动器，获取所有相关后缀的文件，并尝试打开，如果打开成功则返回no，则对文件进行加密：

.encrypted 后缀勒索病毒分析

判断一个文件大小如果小于9999MB，并且大小大于1kb，则对文件名中不包含encrypted，则针对文件进行加密：

.encrypted 后缀勒索病毒分析

针对每一个文件的加密过程如下，首先根据输入的password，算出md5值，然后传入AES创建的Context指针中作为秘钥，其次，每次读取1024 * 1024大小的字节，并进行加密，直到整个文件被加密完成为止，当文件加密完成，则对文件名以增加.encrypted.的处理。

.encrypted 后缀勒索病毒分析

其中key和加密后缀的字符串如下：

zip|7z|rar|pdf|doc|docx|xls|xlsx|pptx|pub|one|vsdx|accdb|asd|xlsb|mdb|snp|wbk|ppt|psd|ai|odt|ods|odp|odm|||odc|odb|docm|wps|xlsm|xlk|pptm|pst|dwg|dxfdxg|wpd|rtf|wb2|mdf|dbf|pdd|eps|indd|cdr|dng|3fr|arw|srf|sr2|bay|crw|cr2|dcr|kdc|erf|mef|mrw|nef|nrw|orf|raf|raw|rwl|rw2|r3d|ptx|pef|srw|x3f|der|cer|crt|pem|pfx|p12|p7b|p7c|abw|til|aif|arc|as|asc|asf|ashdisc|asm|asp|aspx|asx|aup|avi|bbb|bdb|bibtex|bkf|bmp|bpn|btd|bz2|c|cdi|himmel|cert|cfm|cgicpio|cpp|csr|cue|dds|dem|dmg|dsb|eddx|edoc|eml|emlx|EPS|epub|fdf|ffu|flv|gam|gcode|gho|gpx|gz|h|hbk|hdd|hds|hpp|ics|idml|iff|img|ipd|iso|isz|iwaj2k|jp2|jpf|jpm|jpx|jsp|jspa|jspx|jst|key|keynote|kml|kmz|lic|lwp|lzma|M3U|M4A|m4v|max|mbox|md2|mdbackup|mddata|mdinfo|mds|mid|mov|mp3|mp4|mpa|mpb|mpeg|mpgmpj|mpp|msg|mso|nba|nbf|nbi|nbu|nbz|nco|nes|note|nrg|nri|afsnit|ogg|ova|ovf|oxps|p2i|p65|p7|pages|pct|PEM|phtm|phtml|php|php3|php4|php5|phps|phpx|phpxx|pl|plistpmd|pmx|ppdf|pps|ppsm|ppsx|ps|PSD|pspimage|pvm|qcn|qcow|qcow2|qt|ra|rm|rtf|s|sbf|set|skb|slf|sme|smm|spb|sql|srt|ssc|ssi|stg|stl|svg|swf|sxw|syncdb|tager|tc|textga|thm|tif|tiff|toast|torrent|txt|vbk|vcard|vcd|vcf|vdi|vfs4|vhd|vhdx|vmdk|vob|wbverify|wav|webm|wmb|wpb|WPS|xdw|xlr|XLSX|xz|yuv|zipx|jpg|jpeg|png|bmp