一、樣本簡介
BlackHeart(黑心)勒索病毒家族是一款使用NET語言進行編寫的勒索病毒，之前深信服EDR安全團隊已經(jīng)報道過它的變種家族樣本捆綁知名的遠(yuǎn)程軟件AnyDesk進行傳播，此次深信服EDR安全團隊發(fā)現(xiàn)的是它的一個家族的最新的變種，加密算法仍然使用AES+RSA，加密后的文件無法還原，加密后的文件后綴名為mariacbc。
BlackHeart(黑心)勒索病毒也是SF勒索病毒家族成員之一，SF家族的勒索病毒，一共有如下幾類：
· Spartacus(斯巴達(dá)克斯勒索病毒)
· Satyr(薩克斯勒索病毒)
· BlackRouter(BlackRouter勒索病毒)
· BlackHeart(黑心勒索病毒)
它們都采用NET語言進行編寫，并使用了相似的加密核心代碼進行勒索加密，統(tǒng)稱為SF勒索家族。
二、詳細(xì)分析
1.樣本仍然采用之前的B字圖標(biāo)，同時也是使用NET語言進行編寫的，如下所示：

2.程序的入口函數(shù)，如下所示：

3.生成唯一的AES的KEY，如下所示：

4.再利用RSA2048的公鑰Key加密之后生成的AES的Key，然后再轉(zhuǎn)化為BASE64編碼，如下所示：

生成的加密的Key，如下所示：
"mox1nR9OkprIdiwITblhpiD0XclNiMcMMNaP18mqVN1bkmsALjPThj9ckRNKC1uriLkOzc9BqAsgdLcNpmAJ/OPZDzKZhLsNv5GZAZotlMPX/gZzXvNvXqzKIxTxBv5NLzawTeyQuOuZMeU6gcuZdPThNItes0oFGsozxzsZCWuJoQuoXlfVDHnJC8dNGJ1+/EswCIB9jl5Hov0j9BNnwqOaKaTDJWYqayvKY4dnt14moA2ZzODVarydgHOit7CcJLGjCEijXV4Shrz8LkiBfKcH+haDcNWtT4EXT+zGae4DiAUIrAm+FPwLOuodHdrJwflJgkfawnXZA/6Emv/Vbw=="
5.遍歷主機相關(guān)目錄，進行加密操作，如下所示：

遍歷的目錄，如下所示：

相應(yīng)的目錄列表，如下所示：
· %Desktop%
· %Documents%  
· %Music%
· %History%
· %Downloads%
· %Pictures%
· %Videos%
· %Favorites%
· %User Profile%
· %Program Data%
· %System Root%\Users
6.遍歷目錄下的文件，如下所示：

判斷文件的后綴名是否在相應(yīng)的需要加密的文件的后綴名列表中，如下所示：
"