0x00 相关背景:
在最近,发现通过邮件发送加密后的js脚本病毒比较猖獗,身边刚好有一个同事在接收到的邮件中,单击链接后发现中了敲诈勒索木马,基本是大多数的文件被加密了,严重危害了用户的信息安全。
0x01 JS脚本解密:
起初看到加密后的js脚本,无从下手,只是知道其下载了相关的敲诈木马程序并运行了;最终通过百度查找js解密相关,国内已经有了相关的文章(
1秒破解 js packer 加密http://www.cnblogs.com/52cik/p/js-unpacker.html)。
其主要是通过浏览器自带的开发者工具(F12),把加密的代码, 删除开头 eval 这4个字母,按回车就能得到我们需要的原脚本。因为分析的这个样本涉及到公司内部信息,这里就只是简单叙述一下,怎么去解密脚本,得到需要的原脚本。下图一是自己测试所得到的原脚本信息。