一款Python黑客打造的勒索軟體，讓所有國產殺毒軟體升起無力感！

近日，fortinet截獲一種使用python語言編寫的勒索軟體，並將其命名為 「Fsociety Locker」。之所以命名為「Fsociety Locker」，是因為勒索軟體作者是美劇「黑客軍團」的粉絲，勒索軟體作者使用了「fs0ciety」作為文件加密後的後綴名。

今天我們就對這款勒索軟體進行分析。私信小編007即可自動獲取大量Python視頻教程以及各類PDF電子書籍！

行為特徵

在win7系統上運行的效果為：

運行後對文件的加密處理：

此exe是由pyinstall生成。Pyinstall生成的exe文件有下面幾個顯著特徵：

特徵一：字元串特點，在字元串中會出現使用的python的模塊文本

使用strings.exe查看exe的字元串信息，可以看到有好多python的模塊的文本內容：

特徵二：演算法特點。Pyinstall會將python的解釋程序使用zlib演算法壓縮打包

使用peid的kanal查看加密演算法，可以看到程序所使用的演算法

特徵三：進程特徵。Pyinstall生成的exe會啟動自身做為子進程，同時父進程會創建一個互斥體等待子進程的結束，一旦子進程結束後，父進程也隨之結束：

源代碼分析

使用pyinstxtractor.py 腳本可以用來提取pyinstall打包的exe文件的內容，腳本同時也可以提取出可執行文件中的pyz文件的內容。

使用pyinstxtractor.py將exe反編譯成py文件

進入解壓出來的文件夾中的翻找一番，看到scolding文件，這就是原始的py文件

查看scolding文件的內容，可以知道scolding是一個python寫的勒索者軟體。

對scolding文件的分析

在main函數中

首先，調用regwrite函數，將自身寫入啟動項

2. 調用shadow_wipe刪除系統還原備份

3. 遍歷C-Z盤符，得到指定擴展名的文件列表

通過對源代碼的分析，我們基於下列理由相信，此勒索軟體正在處於調試開發階段，這可能也是這款勒索軟體現在還沒有大範圍流行起來的原因。

1.代碼中通過注釋的方式取消了通過共享傳播的函數，

2.代碼中也寫好了獲取Tor瀏覽器及運行tor代理的代碼，而這些代碼並沒有得到調用執行

3.程序中寫好了修改桌面壁紙顯示勒索信息的代碼，這些代碼也沒有被調用執行。

總結

Python 語言擁有開發快，語言簡潔，簡單易學，類庫眾多等優點，這使的勒索軟體作者可以使用python方便的進行惡意軟體開發，根據2016年6月TIOBE編程語言排行榜，python已經打入編程語言前五名。

Python的快速普及也使python開發的惡意程序也普遍起來。可以預見，在不久的未來，此類的勒索軟體也極可能會出現linux和mac os的變種。

比較有意思的是，國內殺軟對此樣本目前仍全部失身。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！