rar
r00
r01
r02
r03
7z
tar
gz
gzip
arc
arj
bz
bz2
bza
bzip
bzip2
ic
xls
xlsx
doc
docx
djvu
fb2
rtf
ppt
pptx
pps
sxi
odm
odt
mpp
ssh
pub
gpg
pgp
kdb
kdbx
als
aup
cpr
npr
cpp
bas
asm
cs
pas
class
py
pl
h
vb
vcproj
vbproj
java
bak
backup
mdb
accdb
mdf
odb
wdb
csv
tsv
sql
psd
ps
cdr
cpt
indd
dwg
ai
svg
max
skp
scad
cad
3ds
blnd
lwo
lws
mb
slddrw
sldasm
sldprt
u3d
jpg
jpg
tiff
tif
raw
avi
mpg
mp4
m4v
mpg
mp
wmf
wmv
vg
mov
3gp
flv
mkv
vob
rm
mp3
wav
asf
wma
m3u
midi
ogg
mid
vdi
vmdk
vhd
dsk
img
iso打开每一个符合扩展名要求的文件,读取前字节并和密钥做循环异或加密。加密完成后再将修改后的文件加上一个.cryptd扩展名——万事大吉。只是让我们很疑惑的是——虽然php这世界上最好的语言(好吧,这只是个梗),但木马作者是如何用php在这么一段并不算长的代码中实现不对称加密的敲诈者代码的?细读代码之后恍然大悟——并没有实现……这段代码的加密方式采用了对称加密算法,准确的说是循环异或加密。更加“人道主义”的是——这个PHP的加密代码其实是“两用”的,只要修改脚本中的一个参数,整个脚本立刻成为了解密脚本。可以直接将加密的文档解密回去:所以说世界已经这么乱了,不对称加密的敲诈者满天飞的今天,对称加密敲诈者能不能就不要来添乱了?当然,也并不是说这个脚本就人畜无害了——对称加密没有密钥想解开依然很麻烦,虽然我们这里拿到密钥了,但上面已经说了:木马作者再服务端依然持续更新着木马的内容,并且木马运行后会自删除,所以说虽然是对称加密,但依然有可能因为找不到加密时的密钥导致依然很难解开文件(难,但并非无解)……但这都不是重点,重点是木马在加密完文件之后给出的敲诈信息:相对于那些动辄两三个比特币的敲诈者木马来说,0.个比特币虽然有零有整的程度令人发指,但确实也算是价钱厚道了。但你所谓的“RSA-”是什么鬼?明明就是个简单的循环异或加密好么!不要假装自己是高大上的不对称加密好么!WTF……POWERSHELL木马分析然后我们再来说说两个独立运行的powrshll木马。虽然a1.x与a2.x是各自独立运行的,但因为他们的行为基本相同,所以我们这里合并为一个来做统一说明。样本首先会执行注入功能:之后对线程做恢复以便执行注入后的代码:完成后,恶意代码会检测机器环境——对不知处powrshll的系统安装微软的KB补丁(补丁相关说明:治疗白斑医院白癜风怎样治疗好