C＃勒索軟體可在運行時編譯

C#勒索軟體

研究人員發現一款正在開發中的勒索軟體，該軟體有一個特點就是可以在運行時自編譯。與常規的分髮式執行勒索功能的文件相比，該可執行文件中運行時會編譯一個嵌入的加密後的C#程序，然後直接載入到內存中。

這是MalwareHunterTeam的研究人員發現的，勒索軟體中含有一個加密字元串是嵌入到釋放器中的，如圖：

加密字元串

然後該字元串會用包含在內的解密密鑰進行解密。

加密字元串的函數

然後整個勒索軟體的源碼就被解密了，解密的源碼隨後被發送到另一個負責編譯的函數。編譯的函數使用CSharpCodeProvider類，並直接將其載入到內存中。

編譯源代碼

使用該方法的目的可能是為了防止被安全軟體檢測到，因此將惡意行為隱藏在加密字元串中。

對於勒索軟體自身，除了將解密密鑰等保存到桌面外，總的來說還是全功能的。

加密的文件夾

在每個掃描的文件夾中，會創建一個叫做「HOW DECRIPT FILES.hta」勒索注釋，提供支付指示。

勒索注釋

因為勒索軟體還在開發中，而且有一個我們之前沒有見過的特點就是使用一種無文件技術——在運行時編譯然後直接載入到內存中，可以繞過安全軟體的檢測。對安全防護者來說，這也是一個啟示，要思考如何應對各種新出現的攻擊和繞過技術，更好地保護我們的終端設備。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！