Python勒索軟體來襲，國産殺軟集體失身

本文原創作者：降草，本文屬freebuf原創獎勵計劃，未經許可禁止轉載

近日，fortinet截獲一種使用python語言編寫的勒索軟體，并将其命名為 “fsociety locker”。之是以命名為“fsociety locker”，是因為勒索軟體作者是美劇“黑客軍團”的粉絲，勒索軟體作者使用了“fs0ciety”作為檔案加密後的字尾名。 今天我們就對這款勒索軟體進行分析。

行為特征

在win7系統上運作的效果為：

運作後對檔案的加密處理：

此exe是由pyinstall生成。pyinstall生成的exe檔案有下面幾個顯著特征：

特征一：字元串特點，在字元串中會出現使用的python的子產品文本

使用strings.exe檢視exe的字元串資訊，可以看到有好多python的子產品的文本内容：

特征二：算法特點。pyinstall會将python的解釋程式使用zlib算法壓縮打包

使用peid的kanal檢視加密算法，可以看到程式所使用的算法

特征三：程序特征。pyinstall生成的exe會啟動自身做為子程序，同時父程序會建立一個互斥體等待子程序的結束，一旦子程序結束後，父程序也随之結束：

源代碼分析

使用pyinstxtractor.py 腳本可以用來提取pyinstall打包的exe檔案的内容，腳本同時也可以提取出可執行檔案中的pyz檔案的内容。

使用pyinstxtractor.py将exe反編譯成py檔案

進入解壓出來的檔案夾中的翻找一番，看到scolding檔案，這就是原始的py檔案

檢視scolding檔案的内容，可以知道scolding是一個python寫的勒索者軟體。

對scolding檔案的分析

在main函數中

首先，調用regwrite函數，将自身寫入啟動項

調用shadow_wipe删除系統還原備份

周遊c-z盤符，得到指定擴充名的檔案清單

對彙總得到檔案，通過函數file_buster_network使用密鑰“123456789123456”進行加密

通過對源代碼的分析，我們基于下列理由相信，此勒索軟體正在處于調試開發階段，這可能也是這款勒索軟體現在還沒有大範圍流行起來的原因。

1.代碼中通過注釋的方式取消了通過共享傳播的函數，

2.代碼中也寫好了擷取tor浏覽器及運作tor代理的代碼，而這些代碼并沒有得到調用執行

3.程式中寫好了修改桌面桌面顯示勒索資訊的代碼，這些代碼也沒有被調用執行。

總結

python 語言擁有開發快，語言簡潔，簡單易學，類庫衆多等優點，這使的勒索軟體作者可以使用python友善的進行惡意軟體開發，根據2016年6月tiobe程式設計語言排行榜，python已經打入程式設計語言前五名。python的快速普及也使python開發的惡意程式也普遍起來。可以預見，在不久的未來，此類的勒索軟體也極可能會出現linux和mac os的變種。

比較有意思的是，國内殺軟對此樣本目前仍全部失身。

pyinstxtractor腳本下載下傳

參考資料：

<a href="https://blog.fortinet.com/2016/09/01/take-it-easy-and-say-hi-to-this-new-python-ransomware">https://blog.fortinet.com/2016/09/01/take-it-easy-and-say-hi-to-this-new-python-ransomware</a>

<a href="http://news.softpedia.com/news/fsociety-ransomware-is-here-but-it-s-pretty-lame-507450.shtml">http://news.softpedia.com/news/fsociety-ransomware-is-here-but-it-s-pretty-lame-507450.shtml</a>

本文轉自d1net（轉載）