近日，网御星云安全性精英团队捕捉到一款应用Go语言撰写的勒索病毒。本次捕捉的样版有勒索及侧门2个作用，而且能特定文件目录和文档开展加密。

Go语言做为一门十分年青的语言表达，简易易入门、适用多服务平台让其遭受攻击者亲睐。编译程序时全静态数据连接和与众不同的栈管理方式大大增加了安全性工作人员科学研究剖析和检验难度系数。

应用Go语言开发设计的故意样版大多数集中化于侧门、挖币两类，勒索病毒非常的少见。

上一次发觉的Go语言勒索病毒，是19年今年初由好事者在Github上公布的勒索病毒源代码改写而成。就算上传者宣称是为了更好地科学研究勒索病毒基本原理，但攻击者显而易见不那么觉得，简易改变就用以勒索主题活动。

该勒索病毒应用UPX3.96免杀，Go版本号为1.13，标记文档已被删掉。

运作桌面显示该病毒感染能够 特定文件目录文档开展加密或删掉；

修补符号表能够 确定为一款应用GO1.13撰写的新勒索 后门病毒；

分析键入主要参数argument意味着加密文件目录和正则匹配方式，必须留意的是，在golang中，调用函数中建筑结构每一个主要参数都入栈，而不是C/C 中以表针方式入栈。

如String种类在golang中以（Address, Length）建筑结构方式发生，造成 IDA以_cdecl的 *** 分析成好几个键入自变量。

正则匹配加密特定文档：

实行加密涵数main_Execute；

加密控制模块启用的awesomeProject_world包，发觉其改变于开源系统GO新项目SIO。

*SIO新项目完成DARE2.0，用以确定密钥是不是恰当，保密是不是被伪造等。适用AES-256 GCM及其Chacha20-Poly1305二种加密方式。

攻击者重写了密钥转化成一部分：

（1）应用base64硬编码密钥，破译后转化成256位密钥A；

（2）应用CryptGenrandom转化成256位盐B；

（3）应用硬编码密钥A和盐B开展密钥继承，转化成最后加密256位密钥C，

向文件头中载入密钥C后，再开展加密；

源代码中Config算法设计如下图：

依据栈上主要参数获得加密Version为20，CipherSuite为1(AES-256-GCM)，Key为密钥C；

加密进行后，重写源文件在删掉，避免数据修复软件恢复；

文档重写为勒索信息提示（左），加密后文档（右）。

打开该设备49500端口号开展监视，循环系统接纳远侧控制代码；

等候C2推送命令实行；

网御星云安全性精英团队再度提示众多客户，勒索病毒防止为主导，现阶段绝大多数勒索病毒加密后的文档都没法破译，留意日常预防措施：

1、立即给系统软件和运用修复漏洞，修补普遍高风险系统漏洞；

2、对关键的数据库文件按时开展非当地备份数据；

3、不必点一下来路不明的邮件附件，不从未知网址下载应用；

4、尽可能关掉多余的共享文件管理权限；

5、变更服务器帐户和数据库查询登陆密码，设定强登陆密码，防止应用统一的登陆密码，由于统一的登陆密码会造成 一台被攻克，几台殃及；

6、假如业务流程上不用应用RDP的，提议关掉RDP作用，并尽可能不必对外网映射RDP端口号和数据库端口。