日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程语言 > python >内容正文

python

python国产_Python勒索软件来袭,国产杀软集体失身

發布時間:2024/10/12 python 42 豆豆
生活随笔 收集整理的這篇文章主要介紹了 python国产_Python勒索软件来袭,国产杀软集体失身 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

近日,fortinet截獲一種使用python語言編寫的勒索軟件,并將其命名為 “Fsociety Locker”。之所以命名為“Fsociety Locker”,是因為勒索軟件作者是美劇“黑客軍團”的粉絲,勒索軟件作者使用了“fs0ciety”作為文件加密后的后綴名。 今天我們就對這款勒索軟件進行分析。

行為特征在win7系統上運行的效果為:

1.png (33.05 KB, 下載次數: 99)

2016-12-26 11:41 上傳運行后對文件的加密處理:

2.png (44.21 KB, 下載次數: 116)

2016-12-26 11:41 上傳此exe是由pyinstall生成。Pyinstall生成的exe文件有下面幾個顯著特征:

特征一:字符串特點,在字符串中會出現使用的python的模塊文本

使用strings.exe查看exe的字符串信息,可以看到有好多python的模塊的文本內容:

3.png (26.29 KB, 下載次數: 106)

2016-12-26 11:41 上傳特征二:算法特點。Pyinstall會將python的解釋程序使用zlib算法壓縮打包

使用peid的kanal查看加密算法,可以看到程序所使用的算法

4.png (4.73 KB, 下載次數: 121)

2016-12-26 11:41 上傳特征三:進程特征。Pyinstall生成的exe會啟動自身做為子進程,同時父進程會創建一個互斥體等待子進程的結束,一旦子進程結束后,父進程也隨之結束:

5.png (6.97 KB, 下載次數: 93)

2016-12-26 11:41 上傳源代碼分析使用pyinstxtractor.py 腳本可以用來提取pyinstall打包的exe文件的內容,腳本同時也可以提取出可執行文件中的pyz文件的內容。

使用pyinstxtractor.py將exe反編譯成py文件

6.png (127.49 KB, 下載次數: 115)

2016-12-26 11:41 上傳進入解壓出來的文件夾中的翻找一番,看到scolding文件,這就是原始的py文件

查看scolding文件的內容,可以知道scolding是一個python寫的勒索者軟件。

對scolding文件的分析在main函數中

首先,調用regwrite函數,將自身寫入啟動項

7.png (36.39 KB, 下載次數: 98)

2016-12-26 11:41 上傳

2. 調用shadow_wipe刪除系統還原備份

8.png (13.25 KB, 下載次數: 121)

2016-12-26 11:41 上傳3. 遍歷C-Z盤符,得到指定擴展名的文件列表

10.png (7.01 KB, 下載次數: 109)

2016-12-26 11:41 上傳

11.png (24.88 KB, 下載次數: 114)

2016-12-26 11:41 上傳4.??對匯總得到文件,通過函數file_buster_network使用密鑰“123456789123456”進行加密

12.png (45.31 KB, 下載次數: 97)

2016-12-26 11:41 上傳通過對源代碼的分析,我們基于下列理由相信,此勒索軟件正在處于調試開發階段,這可能也是這款勒索軟件現在還沒有大范圍流行起來的原因。1.代碼中通過注釋的方式取消了通過共享傳播的函數,

13.png (3.22 KB, 下載次數: 93)

2016-12-26 11:41 上傳

2.代碼中也寫好了獲取Tor瀏覽器及運行tor代理的代碼,而這些代碼并沒有得到調用執行

14.png (32.11 KB, 下載次數: 99)

2016-12-26 11:41 上傳

3.程序中寫好了修改桌面壁紙顯示勒索信息的代碼,這些代碼也沒有被調用執行。

15.png (8.3 KB, 下載次數: 104)

2016-12-26 11:41 上傳

16.png (21.99 KB, 下載次數: 117)

2016-12-26 11:41 上傳總結Python 語言擁有開發快,語言簡潔,簡單易學,類庫眾多等優點,這使的勒索軟件作者可以使用python方便的進行惡意軟件開發,根據2016年6月TIOBE編程語言排行榜,python已經打入編程語言前五名。Python的快速普及也使python開發的惡意程序也普遍起來。可以預見,在不久的未來,此類的勒索軟件也極可能會出現linux和mac os的變種。

比較有意思的是,國內殺軟對此樣本目前仍全部失身。

17.png (87.01 KB, 下載次數: 116)

2016-12-26 11:41 上傳

總結

以上是生活随笔為你收集整理的python国产_Python勒索软件来袭,国产杀软集体失身的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。