Python勒索软件来袭,国产杀软集体失身-阿里云开发者社区

开发者社区> 晚来风急> 正文

Python勒索软件来袭,国产杀软集体失身

简介:
+关注继续查看
  • 本文原创作者:降草,本文属FreeBuf原创奖励计划,未经许可禁止转载

近日,fortinet截获一种使用python语言编写的勒索软件,并将其命名为 “Fsociety Locker”。之所以命名为“Fsociety Locker”,是因为勒索软件作者是美剧“黑客军团”的粉丝,勒索软件作者使用了“fs0ciety”作为文件加密后的后缀名。 今天我们就对这款勒索软件进行分析。

行为特征

在win7系统上运行的效果为:

运行后对文件的加密处理:

此exe是由pyinstall生成。Pyinstall生成的exe文件有下面几个显著特征:

特征一:字符串特点,在字符串中会出现使用的python的模块文本

使用strings.exe查看exe的字符串信息,可以看到有好多python的模块的文本内容:

特征二:算法特点。Pyinstall会将python的解释程序使用zlib算法压缩打包

使用peid的kanal查看加密算法,可以看到程序所使用的算法

特征三:进程特征。Pyinstall生成的exe会启动自身做为子进程,同时父进程会创建一个互斥体等待子进程的结束,一旦子进程结束后,父进程也随之结束:

源代码分析

使用pyinstxtractor.py 脚本可以用来提取pyinstall打包的exe文件的内容,脚本同时也可以提取出可执行文件中的pyz文件的内容。

使用pyinstxtractor.py将exe反编译成py文件

进入解压出来的文件夹中的翻找一番,看到scolding文件,这就是原始的py文件

查看scolding文件的内容,可以知道scolding是一个python写的勒索者软件。

对scolding文件的分析

在main函数中

首先,调用regwrite函数,将自身写入启动项

  1. 调用shadow_wipe删除系统还原备份
  2. 遍历C-Z盘符,得到指定扩展名的文件列表
  3. 对汇总得到文件,通过函数file_buster_network使用密钥“123456789123456”进行加密

通过对源代码的分析,我们基于下列理由相信,此勒索软件正在处于调试开发阶段,这可能也是这款勒索软件现在还没有大范围流行起来的原因。

1.代码中通过注释的方式取消了通过共享传播的函数,

2.代码中也写好了获取Tor浏览器及运行tor代理的代码,而这些代码并没有得到调用执行

3.程序中写好了修改桌面壁纸显示勒索信息的代码,这些代码也没有被调用执行。

总结

Python 语言拥有开发快,语言简洁,简单易学,类库众多等优点,这使的勒索软件作者可以使用python方便的进行恶意软件开发,根据2016年6月TIOBE编程语言排行榜,python已经打入编程语言前五名。Python的快速普及也使python开发的恶意程序也普遍起来。可以预见,在不久的未来,此类的勒索软件也极可能会出现linux和mac os的变种。

比较有意思的是,国内杀软对此样本目前仍全部失身。

pyinstxtractor脚本下载

参考资料:

https://blog.fortinet.com/2016/09/01/take-it-easy-and-say-hi-to-this-new-python-ransomware

http://news.softpedia.com/news/fsociety-ransomware-is-here-but-it-s-pretty-lame-507450.shtml

本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10077 0
Python必知词汇:软件
软件是一系列按照特定顺序组织的电脑数据和指令,是电脑中的非有形部分。
242 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13884 0
《软件功能测试自动化实战教程》目录—导读
软件功能测试既是基础的软件测试领域,也是一个没有完全解决问题的领域,若要便捷有效地进行自动化功能测试是一件不简单的事情,为了帮助读者较好地进行自动化功能测试,特意撰写本书.
2227 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载