CryptoShield 勒索病毒分析

感染后，会加密文件，无法打开文件

0x01 病毒行为分析

1. 查壳:
   

   无壳

2. 用PE explorer查看导入dll:

   

   查看导入dll

3. 用API Monitor查看导入dll:

   

   image.png

4. 资源分析:
   

   发现很多都出现错误

5. 可发现启动项已被修改:
   

   image.png

6. 发现该病毒会访问一个固定ip:45.76.81.110的80端口:

   

   image.png

7. 注册表多处被修改:
   

   注册表值修改

0x10 病毒程序分析

1. 用IDA直接分析该病毒并没有找到病毒感染特征：
   

   无感染特征

2. 用OD打开病毒文件，下dll载入断点分析程序内存块：
   

   下断点, 中断于新DLL, 等程序解密完之后,就能看到真正的勒索程序

3. 发现dll被加载后，多出几个内存区段，猜测那是加载dll解密后的病毒程序:
   

   从memory map中可看到新增了一段数据, 打开看是程序文件头格式, 可确认是勒索程序, dump出来即可用IDA分析

4.IDA打开dump出来的二进制文件, 能完整分析文件:

真正勒索程序OEP

5. 获取根目录信息函数:
   

   获取根目录卷信息函数

6. 这里可知特殊的ID是根据C盘的卷标序列号和用户名生成的：
   

   image.png

7. 进一步分析可看到被排除的文件目录:
   

   排除加密的文件

8. 待加密的文件格式:
   

   待加密的文件格式

9. 连接远程服务器的源码:
   

   向远程服务器连接的源码

10. 文件加密过程:
    

    文件加密过程