病毒分析之撒旦(Satan)勒索病毒分析解密(AES256 ECB算法)
0x0病毒概况
撒旦勒索病毒主要是针对企业服务器用户进行感染加密其服务器上的文件并勒索用户的一种病毒。
撒旦病毒通过大量漏洞利用工具,扫描入侵主机。
成功入侵后加密重要文件。并生成文件用中英韩三种语言提示索要比特币赎金解密文件。
0x1恶意行为
1.主模块会释放大量攻击模块并执行,也会连接恶意IP下载病毒文件。
2.从资源释放恶意文件,连接IP下载病毒文件http://45.77.175.225/cab/xxx.exe等
3.利用漏洞扫描、入侵其他主机
4.加密文件,勒索被感染用户
0x2病毒母体
病毒从主模块中以FindResource、LoadResource这样的一套操作释放大量文件并使用ShellExecuteA操作执行,
也会使用socket连接恶意网址下载病毒文件。
以下为部分病毒母体文件(此次分析样本为Satan4.2版本)