大小: 327680 bytes
修改时间: 2017年4月13日, 15:30:22
MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1: 863F5956863D793298D92610377B705F85FA42B5
CRC32: 1386DD7A
软件环境:Windows7、VMware Workstation
硬件环境:局域网、PC机一台
开发工具:OD、IDA、火绒剑、PCHunter、PEid、loadPe
网络工具:WSExplorer
病毒主要行为
病毒传播原理
查杀方法
将系统内的文本、文档等文件加密,
每个文件夹都会生成文字版和图片版的勒索信息
程序会自我删除
程序会添加启动项,伪装成cmd,在cmd后面添加启动参数
Virtuall下断点,virtuall肯定是在第3个之后,也就是第4下硬件写入断点是49所以不是,,第4个就是3ac00 是大小也就是镜像大小
dump后结果
CreateProcessW下硬件执行断点,看到有进程挂起了,因此要WriteProcessMemory进行下硬件执行断点,查看往buffer里面写数据,
然后进行dump是根据经验
两个GetProcAddress函数之后的函数sub_402170 不清楚是干什么的 我们跟进去看看
运行结果如图内存示意图,得知该函数是解密字符串的函数由此图与上图比较可知该函数是用于去掉后缀名后边的“;”的
文本Unicode的64位
也就是说 该函数是要获取环境变量名为“windir”的内容、并存到0x12BB90中其结果为“C:\Windows”
#0x05 总结
勒索病毒最常见的免杀手段就是加混淆,类似壳,初学病毒分析往往会停在这个地方,但经过周密的分析还是可以提取到恶意代码,然后在进一步分析。勒索病毒现在已经横扫全世界,只是一味的分析样本是改变不了中病毒的宿命的,所以我们接下来要考虑的就是写一个工具防止勒索病