Fucking勒索软件分析
字数 1195 2025-08-25 22:58:47

Fucking勒索软件分析与解密教学文档

一、背景概述

Fucking勒索软件是一种非典型的勒索软件变种,与传统勒索软件相比有以下显著特点:

  1. 加密范围广泛:加密所有文件格式,而不仅限于文档类型
  2. 无明确支付机制:未提供赎金支付的钱包地址或说明文件
  3. 命名特征:加密后文件扩展名改为.fucking
  4. 传播方式推测:可能通过社交群或共享盘定向传播

二、技术分析

基本文件信息

  • 文件大小:125,952字节
  • 编程语言:C#
  • 代码混淆:使用了代码混淆技术
  • 界面结构:包含3个Form界面

界面功能

  1. Form1

    • 隐藏运行
    • 包含listbox控件存储待加密文件路径
    • 负责文件遍历和加密

  2. Form2

    • 显示解密密码输入框
    • 验证用户输入密码

  3. Form3

    • 仅在输入正确密码后显示
    • 负责文件解密

三、加密机制详解

文件遍历过程

  • 从根目录遍历至Z盘
  • 排除已加密文件(.fucking后缀)
  • 将符合条件的文件路径加入listbox1控件

加密算法

  • 使用AES对称加密算法
  • 加密触发:Timer1计时器(间隔100ms)

Key和IV生成

  1. 计算硬编码字符串"FucktheSystem"的SHA512哈希值: 
    DB 5D 07 9E FA 07 AE A3 EE 81 64 DB 76 D9 6A BE
EB BE 3E 71 8F 36 B1 E7 E0 DA 94 16 90 C8 18 84
62 F1 01 62 03 F2 D1 89 E6 39 34 6B 5B 24 35 D3
72 1F ED 11 C7 0C 3C 29 0F 7F 72 EE F5 1B 64 62
  2. Key:取哈希值前0x20字节
  3. IV:取哈希值偏移0x20-0x30的16字节

加密示例

原始文件:C:\Users\forrest\Documents\desktop.ini
加密后:C:\Users\forrest\Documents\desktop.ini.fucking

四、解密机制分析

密码验证流程

  1. 用户输入密码
  2. 程序与内置密码比较
  3. 密码正确:显示Form3并隐藏Form2
  4. 密码错误:显示错误提示

密码提取方法

  1. 密码存储在偏移1124(十进制)处
  2. 字符串长度:0x2c (44字节)
  3. 密码内容:maaf saya lupa passnya

解密过程

  1. 输入正确密码后显示Form3
  2. 自动遍历加密文件
  3. 使用相同AES算法反向解密

五、数据恢复方法

解密步骤

  1. 运行勒索软件
  2. 在密码输入框中输入:maaf saya lupa passnya
  3. 程序将自动解密所有.fucking文件

注意事项

  1. 该密码为软件内置固定密码
  2. 若解密失败,可能软件已升级变种
  3. 建议联系专业安全人员分析

六、技术总结

  1. 设计简单:相比传统勒索软件缺乏复杂性
  2. 固定密码:所有受害者使用相同解密密码
  3. 针对性传播:可能针对特定人群传播
  4. 安全缺陷
    • 未使用非对称加密
    • 密钥生成方式固定
    • 无C&C服务器通信

七、防御建议

  1. 定期备份重要数据
  2. 谨慎打开不明来源文件
  3. 保持系统和安全软件更新
  4. 对可疑文件进行沙箱分析
  5. 提高安全意识,警惕社交工程攻击

八、参考资源

CryptoShield勒索家族分析参考:
https://xianzhi.aliyun.com/forum/read/726.html

Fucking勒索软件分析与解密教学文档 一、背景概述 Fucking勒索软件是一种非典型的勒索软件变种,与传统勒索软件相比有以下显著特点: 加密范围广泛 :加密所有文件格式,而不仅限于文档类型 无明确支付机制 :未提供赎金支付的钱包地址或说明文件 命名特征 :加密后文件扩展名改为 .fucking 传播方式推测 :可能通过社交群或共享盘定向传播 二、技术分析 基本文件信息 文件大小:125,952字节 编程语言:C# 代码混淆:使用了代码混淆技术 界面结构:包含3个Form界面 界面功能 Form1 : 隐藏运行 包含listbox控件存储待加密文件路径 负责文件遍历和加密 Form2 : 显示解密密码输入框 验证用户输入密码 Form3 : 仅在输入正确密码后显示 负责文件解密 三、加密机制详解 文件遍历过程 从根目录遍历至Z盘 排除已加密文件( .fucking 后缀) 将符合条件的文件路径加入listbox1控件 加密算法 使用AES对称加密算法 加密触发:Timer1计时器(间隔100ms) Key和IV生成 计算硬编码字符串"FucktheSystem"的SHA512哈希值: Key :取哈希值前0x20字节 IV :取哈希值偏移0x20-0x30的16字节 加密示例 原始文件: C:\Users\forrest\Documents\desktop.ini 加密后: C:\Users\forrest\Documents\desktop.ini.fucking 四、解密机制分析 密码验证流程 用户输入密码 程序与内置密码比较 密码正确:显示Form3并隐藏Form2 密码错误:显示错误提示 密码提取方法 密码存储在偏移1124(十进制)处 字符串长度:0x2c (44字节) 密码内容: maaf saya lupa passnya 解密过程 输入正确密码后显示Form3 自动遍历加密文件 使用相同AES算法反向解密 五、数据恢复方法 解密步骤 运行勒索软件 在密码输入框中输入: maaf saya lupa passnya 程序将自动解密所有 .fucking 文件 注意事项 该密码为软件内置固定密码 若解密失败,可能软件已升级变种 建议联系专业安全人员分析 六、技术总结 设计简单 :相比传统勒索软件缺乏复杂性 固定密码 :所有受害者使用相同解密密码 针对性传播 :可能针对特定人群传播 安全缺陷 : 未使用非对称加密 密钥生成方式固定 无C&C服务器通信 七、防御建议 定期备份重要数据 谨慎打开不明来源文件 保持系统和安全软件更新 对可疑文件进行沙箱分析 提高安全意识,警惕社交工程攻击 八、参考资源 CryptoShield勒索家族分析参考: https://xianzhi.aliyun.com/forum/read/726.html