文章作者Matthew Molyett.
执行摘要
3月Talos报告细节密码0l0cker基于我对样本二进制进行的广泛分析二进制-复数-因为,如原创博客所言,密码0l0cker有效载荷用多个共享代码库可执行文件执行程序各有几乎完全相同的功能,但多次识别所有这些函数是乏味的,并抽出时间改进分析输入首选函数识别恢复签名工具由Talos于2016年12月发布
首选允许我立即将分析从拆包槽移植到有效载荷文件曾满足我对两个文件的分析后,我被移交前置样本疑版首选能够辨识出版本相似代码并部分移植分析回老文件下一版crypt0l0cker发布后,我就可以使用Ist移植类似代码跳跃分析也可以用它移植我的工作使用2017年4月VibleTotal上出现的密码l0cker样本,未定向分析此文件为此文章提供背景
定位样本
提供恶意软件样本已知家庭而不分析它会感觉是一种沉重的挑战需要克服幸好塔洛斯利用威胁网沙盒报告 疑似恶意软件样本这些报告可扫描家庭国际奥委会按我们先前对capt0l0cker的分析计算,该版本的感染状态存储在名为ewiwibiz的文件中通过搜索Cisco威胁网格遥测创建ewiwobiz文件,我识别出一个文件可能是密码0l0cker可执行性
连接CISCO