幾年前，敲詐者木馬還是一個默默無聞的木馬種類。然而，由於其極強的破壞力和直接且豐厚的財富回報，敲詐者木馬這幾年已經一躍成為曝光率最高的木馬型別——甚至超越了盜號木馬、遠控木馬、網購木馬這傳統三強。與此同時，各種敲詐者木馬也在不斷推陳出新，變著花樣地出現在分析人員的視野中。

去年，360安全團隊就發現了一款使用PHP語言編寫的敲詐者木馬（具體內容參考《用世界上最好的程式語言寫成的敲詐者木馬》）。最近，一款使用Python語言編寫的敲詐者木馬又被發現。面對花樣百出的攻擊，360的安全分析人員不禁感嘆——竟然還有這種操作？

永遠的“我的化學浪漫”

7月27日，360的反勒索申訴平臺接到了兩例反饋，兩案例均為26日中毒，而且副檔名均被修改為“MyChemicalRomance4EVER”。兩位受害人本可逃過一劫，可惜卻都是中毒之後才想起安裝360安全衛士來加強系統安全防護的。

上述副檔名中的“My Chemical Romance”這個名稱，其實是源自一支美國新澤西州的同名朋克樂隊。該樂隊成立於2002年，十一年後的2013年宣告解散。朋克這種充滿了叛逆與不羈的音樂風格向來深受年輕人的喜愛，所以該木馬的作者想來應該也是一個充滿著叛逆性格的年輕人吧？

病毒名字起的很“朋克”，但傳播方式卻頗為老套，無非就是偽裝成一些對廣大網民比較有吸引力的軟體對外發布，誘導大家下載並執行。

比如我們拿來分析的這個樣本，就自稱是一款叫做“VortexVPN”的VPN軟體。除此之外，還有類似於“PornDownload”、“ChaosSet”、“PanDownloader”、“BitSearch”等等，基本都是廣大網友都懂得的各種工具軟體。

通過進一步追溯，發現該木馬傳播早期，可能是來自於一個名為ZeroNet的匿名網路，該網路是一個去中心化的加密網路，顯然作者是對隱藏自身資訊也是做了比較周密的安排。

木馬分析驚現Python語言

言歸正傳，我們來看下木馬本身。和常見勒索木馬一樣，會加密中毒電腦中的所有常見文件檔案，並留下敲詐資訊

而很是與眾不同的是，在分析的時候，我們發現這款木馬竟然是用Python語言編寫了木馬指令碼，然後再打包成一個exe的可執行程式的。

於是我們嘗試使用現有工具對該exe進行反編譯，結果喜人——工具成功的對木馬程式進行了反編譯，其中除了一些Python環境所依賴的庫檔案之外，核心部分就是一個名為“wub_crypted”的pyc檔案。

之後，我們將pyc指令碼恢復為py指令碼檔案，發現指令碼本身的內容也是加密過的。再經過兩次的Base64解碼和一次AES解密，最終我們拿到了木馬核心功能指令碼的內容。

指令碼程式碼分析

有了明文指令碼，功能就顯而易見了。

首先，木馬會判斷自身程序名是否為systern.exe。如果不是，則將自身複製為C:UsersPublicsystern.exe 並執行。

之後，木馬釋放s.bat批處理指令碼，關閉各種資料庫和web 服務及程序。

接下來，就是遍歷所有系統中所有檔案並加密且留下勒索資訊了。當然，為了避開敏感的系統檔案，程式碼有意避開了“C:Documents and Settings”和“C:Windows”兩個目錄。

最終木馬會呼叫系統的wevtutil命令，對系統日誌中的“系統”、“安全”和“應用程式”三部分日誌內容進行清理，並刪除自身，以求不留痕跡。

該木馬的亮點是，在加密的檔案型別列表中，除了大量的文件型別外，還包括有比特幣錢包檔案和一些較重要的資料庫檔案。

而另一個更大的亮點則是——該木馬不同於以往的敲詐者木馬使用不對稱加密演算法，而是採用了AES對稱加密演算法，並且用於加/解密的金鑰則是硬編碼在指令碼中的：“MyChemicalRomance4EVER_tkfy_lMCR”。

用Python指令碼寫了個敲詐者木馬，再打包成 exe程式，再費盡周章用匿名網路發不出去，最終因為使用對稱加密演算法被分分鐘破解……驚不驚喜？意不意外？

老生常談的一些話

1.不要從不明來源下載程式。

2.安裝防毒軟體並開啟監控。

3.不要相信所謂外掛、XX工具、XX 下載器一類的程式宣稱的殺軟誤報論。

這些真的已經算是老生常談了。不過大家放心，這類木馬雖然有些新意，但本質上還是老套的敲詐者木馬，360 對此類木馬可實現無壓力攔截。