变种GandCrab样本分析

原样本在公司，这里分析的是过了混淆之后的dump文件：
list一下字符串：

基本确定是GandCrab的变种了，详细分析一下它的模块

ghidra有很多进程没有识别出来，但是很明显这是结束关键进程的，以免文件被占用不能加密。
跟踪这个函数，发现只有一次调用，那就好办了：

跟踪那个函数，可以发现这里是遍历磁盘，跟进线程的回调函数：

进入遍历磁盘函数，先在桌面创建一个Decrypt.txt文件：

进入加密文件函数fun_00405807,发现加密时先导入rsa公钥，然后读入文件内容加密，最后用 MoveFile改文件名字。

在文件的尾部写入了GandCrab的相关信息。

在加密线程结束之后，开始上传用户的计算机信息：

getComputerInfo函数,把获取到的信息保存到存过来到结构体里面，用到HeapAlloc申请到内存，houm：

接下来调用FUN_00405dcd函数将结构体全部解析为字符串

最后用Base64加密post传给服务器：