近日，fortinet截获一种使用python语言编写的勒索软件，并将其命名为 “Fsociety Locker”。之所以命名为“Fsociety Locker”，是因为勒索软件作者是美剧“黑客军团”的粉丝，勒索软件作者使用了“fs0ciety”作为文件加密后的后缀名。 今天我们就对这款勒索软件进行分析。

行为特征在win7系统上运行的效果为：

1.png (33.05 KB, 下载次数: 99)

2016-12-26 11:41 上传运行后对文件的加密处理：

2.png (44.21 KB, 下载次数: 116)

2016-12-26 11:41 上传此exe是由pyinstall生成。Pyinstall生成的exe文件有下面几个显著特征：

特征一：字符串特点，在字符串中会出现使用的python的模块文本

使用strings.exe查看exe的字符串信息，可以看到有好多python的模块的文本内容：

3.png (26.29 KB, 下载次数: 106)

2016-12-26 11:41 上传特征二：算法特点。Pyinstall会将python的解释程序使用zlib算法压缩打包

使用peid的kanal查看加密算法，可以看到程序所使用的算法

4.png (4.73 KB, 下载次数: 121)

2016-12-26 11:41 上传特征三：进程特征。Pyinstall生成的exe会启动自身做为子进程，同时父进程会创建一个互斥体等待子进程的结束，一旦子进程结束后，父进程也随之结束：

5.png (6.97 KB, 下载次数: 93)

2016-12-26 11:41 上传源代码分析使用pyinstxtractor.py 脚本可以用来提取pyinstall打包的exe文件的内容，脚本同时也可以提取出可执行文件中的pyz文件的内容。

使用pyinstxtractor.py将exe反编译成py文件

6.png (127.49 KB, 下载次数: 115)

2016-12-26 11:41 上传进入解压出来的文件夹中的翻找一番，看到scolding文件，这就是原始的py文件

查看scolding文件的内容，可以知道scolding是一个python写的勒索者软件。

对scolding文件的分析在main函数中

首先，调用regwrite函数，将自身写入启动项

7.png (36.39 KB, 下载次数: 98)

2016-12-26 11:41 上传

2. 调用shadow_wipe删除系统还原备份

8.png (13.25 KB, 下载次数: 121)

2016-12-26 11:41 上传3. 遍历C-Z盘符，得到指定扩展名的文件列表

10.png (7.01 KB, 下载次数: 109)

2016-12-26 11:41 上传

11.png (24.88 KB, 下载次数: 114)

2016-12-26 11:41 上传4.  对汇总得到文件，通过函数file_buster_network使用密钥“123456789123456”进行加密

12.png (45.31 KB, 下载次数: 97)

2016-12-26 11:41 上传通过对源代码的分析，我们基于下列理由相信，此勒索软件正在处于调试开发阶段，这可能也是这款勒索软件现在还没有大范围流行起来的原因。1.代码中通过注释的方式取消了通过共享传播的函数，

13.png (3.22 KB, 下载次数: 93)

2016-12-26 11:41 上传

2.代码中也写好了获取Tor浏览器及运行tor代理的代码，而这些代码并没有得到调用执行

14.png (32.11 KB, 下载次数: 99)

2016-12-26 11:41 上传

3.程序中写好了修改桌面壁纸显示勒索信息的代码，这些代码也没有被调用执行。

15.png (8.3 KB, 下载次数: 104)

2016-12-26 11:41 上传

16.png (21.99 KB, 下载次数: 117)

2016-12-26 11:41 上传总结Python 语言拥有开发快，语言简洁，简单易学，类库众多等优点，这使的勒索软件作者可以使用python方便的进行恶意软件开发，根据2016年6月TIOBE编程语言排行榜，python已经打入编程语言前五名。Python的快速普及也使python开发的恶意程序也普遍起来。可以预见，在不久的未来，此类的勒索软件也极可能会出现linux和mac os的变种。

比较有意思的是，国内杀软对此样本目前仍全部失身。

17.png (87.01 KB, 下载次数: 116)

2016-12-26 11:41 上传