勒索病毒
文章目录
- 0x01 样本概况
- 样本信息
- 测试环境及工具
- 分析目标
- 0x02 行为分析
- 0x03 从混淆代码中提取恶意代码
- 申请内存
- 创建进程
- 0x04 分析流程
- 提权函数
0x01 样本概况
样本信息
大小: 327680 bytes
修改时间: 2017年4月13日, 15:30:22
MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1: 863F5956863D793298D92610377B705F85FA42B5
CRC32: 1386DD7A
测试环境及工具
软件环境:Windows7、VMware Workstation
硬件环境:局域网、PC机一台
开发工具:OD、IDA、火绒剑、PCHunter、PEid、loadPe
网络工具:WSExplorer
分析目标
病毒主要行为
病毒传播原理
查杀方法
0x02 行为分析
将系统内的文本、文档等文件加密,
每个文件夹都会生成文字版和图片版的勒索信息
程序会自我删除
程序会添加启动项,伪装成cmd,在cmd后面添加启动参数
0x03 从混淆代码中提取恶意代码
申请内存
Virtuall下断点,virtuall肯定是在第3个之后,也就是第4下硬件写入断点是49所以不是,,第4个就是3ac00 是大小也就是镜像大小
dump后结果
创建进程
CreateProcessW下硬件执行断点,看到有进程挂起了,因此要WriteProcessMemory进行下硬件执行断点,查看往buffer里面写数据,
然后进行dump是根据经验
0x04 分析流程
两个GetProcAddress函数之后的函数sub_402170 不清楚是干什么的 我们跟进去看看
运行结果如图内存示意图,得知该函数是解密字符串的函数由此图与上图比较可知该函数是用于去掉后缀名后边的“;”的
文本Unicode的64位
提权函数
也就是说 该函数是要获取环境变量名为“windir”的内容、并存到0x12BB90中其结果为“C:\Windows”
#0x05 总结
勒索病毒最常见的免杀手段就是加混淆,类似壳,初学病毒分析往往会停在这个地方,但经过周密的分析还是可以提取到恶意代码,然后在进一步分析。勒索病毒现在已经横扫全世界,只是一味的分析样本是改变不了中病毒的宿命的,所以我们接下来要考虑的就是写一个工具防止勒索病