公开勒索病毒代码，黑客是在搞笑吗？

   近日，瑞星安全专家在国内率先截获了4个多多病毒样本，有之前 其他安全厂商并未发布过该勒索病毒，好多好多 瑞星将该勒索病毒样本命名为“GoRansom”。通过分析病毒代码发现，病毒作者来自巴西，声称为了研究勒索病毒原理，你以为轻易地将此病毒代码公开？？？这就意味着着，一旦该勒索病毒被其他不法分子利用，将给社会造成非常大的危害。

    瑞星安全专家称此病毒作者公开代码你這個行为非常危险，该勒索病毒代码加密体系有之前 非常性性早熟是什么是什么。病毒作者还在4个多多月前更新了最新的代码，瑞星在 2019 年 1 月 16 号就捕获到了利用此源码生成的病毒exe系统进程。从捕获日期推测，有之前 有攻击者在研究测试该病毒。

图：病毒作者github主页

   “GoRansom”勒索病毒采用Go语言开发，使用非对称算法加密文件，病毒运行回会加密指定文件，包括文档、图片、视频等格式文件，被加密文件会被追加进“.encrypted”后缀，有之前 在桌面释放勒索提示，用户支付赎金解锁文件。目前，瑞星ESM及瑞星之剑等产品均可对该病毒进行防御和查杀，处里用户文件被病毒加密。

图：瑞星ESM与瑞星之剑成功拦截截图

    瑞星安全专家提醒广大用户，为了有效防御勒索病毒发起的攻击，建议做到以下几点：

    1、 不下载可疑系统进程。

    2、 不打开来源不明的邮件。

    3、 及时更新系统补丁。

    4、 及时修改系统密码，处里使用过于简单的密码。

    5、 安装杀毒软件，保持防护开启，查杀病毒。

    6、 安装勒索病毒防御软件，拦截病毒加密文件。

    病毒完整性分析

   “GoRansom”勒索病毒使用Go语言开发

 图：病毒蕴藏的Go语言信息

    运行之后，随机生成用户编号和文件加密时将要用到的AES密钥，通过RSA算法加密密钥和用户编号，发送给控制服务器。

 图：生成密钥和编号，加密发送给控制服务器

    发送函数将密钥和编号拼凑后，调用加密函数

图：发送函数调用加密函数

    加密函数将密钥和编号通过RSA算法加密，发给控制服务器

图：加密并发送

    遍历文件准备加密

图：遍历文件

    排除指定的文件夹

图：排除的文件夹

    加密指定的后缀

图：加密的后缀

    使用AES算法加密文件

图：使用AES算法加密文件

    使用base64 算法重命名被加密的文件的文件名，并追加进勒索后缀

图：重命名文件，追加进后缀

    被修改后，后缀追加进.encrypted后缀

图：被加密的文件

    病毒会将被加密文件的原文件名，存放到去桌面LIST_OF_FILES.html文件中，用来给受害者展示那此文件被加密。

图：被加密文件的原文件名

    在桌面释放勒索信息文件README.html

图：释放勒索信息

    勒索信打开后可不上能 看后，攻击者要求受害者支付赎金，并通过文件中留下的邮箱地址联系攻击者，通过留下的比特币钱包地址支付赎金。

图：勒索提示信息

本文由站长之家用户投稿，未经站长之家同意，严禁转载。如广大用户大家 ，发现稿件存在不实报道，欢迎读者反馈、纠正、举报疑问报告 （反馈入口）。

免责声明：本文为用户投稿的文章，站长之家发布此文仅为传递信息，不代表站长之家赞同其观点，不对对内容真实性负责，仅供用户参考之用，不构成任何投资、使用建议。请读者自行核实真实性，以及有之前 存在的风险，任何后果均由读者自行承担。