這篇文章主要介紹Golang實(shí)現(xiàn)勒索軟件Bugo的示例分析，文中介紹的非常詳細(xì)，具有一定的參考價(jià)值，感興趣的小伙伴們一定要看完！

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括平潭網(wǎng)站建設(shè)、平潭網(wǎng)站制作、平潭網(wǎng)頁(yè)制作以及平潭網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái)，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，平潭網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到平潭省份的部分城市，未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

背景

最近一段，通過(guò)奇安信大數(shù)據(jù)平臺(tái)檢測(cè)，國(guó)內(nèi)外越來(lái)越多的惡意軟件開(kāi)發(fā)者開(kāi)始使用Golang語(yǔ)言來(lái)開(kāi)發(fā)遠(yuǎn)控、勒索軟件等惡意軟件。

在前一陣的通達(dá)OA事件中，攻擊者就使用了Golang編寫的勒索軟件，通過(guò)偽裝成通達(dá)OA的某個(gè)插件的方式植入相關(guān)企業(yè)的電腦中，成功繞過(guò)殺軟軟件，加密企業(yè)數(shù)據(jù)，給相關(guān)企業(yè)造成了較大的損失。

本次捕獲的新型勒索軟件“Bugo”目前正在地下論壇中出售。賣方稱可以自定義聯(lián)系方式和加密后綴。

這意味著，相關(guān)黑產(chǎn)團(tuán)伙購(gòu)買后可以無(wú)限制的生成任意加密后綴的勒索樣本，如果考慮極致的免殺還可以在外層套幾層流行的混淆器再進(jìn)行投放，危害巨大。同時(shí)在該論壇中，有人在尋求Arkei Stealer logs工具，用于勒索軟件的攻擊流程中。

樣本分析

整體流程如下：

將自身拷貝到%temp%目錄下，調(diào)用CMD啟動(dòng)

隨機(jī)生成AES密鑰并加載RSA公鑰，使用RSA公鑰加密AES密鑰，作為用戶ID

遍歷目錄

排除如下目錄

C:\PerfLogs

C:\Program Files

C:\Program Files (x86)

C:\Windows

加密的文件后綴類型如下

加密文件，后綴為.[bugbugo@protonmail.com].bug

之后自刪除，彈出勒索信

以上是“Golang實(shí)現(xiàn)勒索軟件Bugo的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對(duì)大家有幫助，更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！