社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 1167阅读
  • 2回复

[分享]GandCrab v5.2分析

楼层直达
z3960 
级别: 茶馆馆主
发帖
770868
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8

病毒简介    GandCrab勒索病毒于2018年1月首次出现,并出现了很多变种,GandCrab病毒家族主要通过RDP暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。病毒本身不具有蠕虫传播能力,但会通过枚举方式对网络共享资源进行加密,同时攻击者往往还会通过内网人工渗透方式,利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击并植入该病毒。在一年半内赚进超过20亿美金后,他们决定金盆洗手,关闭这个恶意程序。2019年6月,GandCrab勒索病毒团队相关论坛发表俄语官方声明,将在一个月内关闭其RaaS(勒索软件即服务)业务。样本信息文件: C:Userswin7DesktopVW5VW5.exe大小: 95232 bytes修改时间: 2019年2月24日, 22:15:11MD5: B48F9C12805784546168757322A1B77DSHA1: 527C655FE98810AB22B6F36C9677D862BC66770ECRC32: 8F03CEAF查壳使用PEID查壳,链接器版本是14.0 是vs2015写的程序,区段也很正常。 大致分析- 加载了C:WindowsSystem32vmhgfs.dll 模块 - 文件操作有点多,大致是遍历目录生成txt文件。和后缀为.lock的文件。 - txt的内容大概是告诉我们文件被加密了,不要删除,和购买私钥的具体方法。 具体分析-入口处发现不能反汇编,猜测可能动态解密或者有混淆,使用动态调试看看吧。 - 使用OD分析发现有多处混淆,由于我没什么太好的方法于是就单步分析。- 获取用户名,及一些计算机信息配置信息磁盘空间信息和当前使用的输入法 - 通过注册表获得当前使用的输入法判断是否是俄语 - 然后又获取了这些国家的输入法标识,通过GetUserDefaultUILanguage获得本机 输入法标识。具体对应的国家可以去`https://docs.microsoft.com/zh-cn ... -90a5-ce1a8b0cdb9c` 查询。循环比较是不是在这些国家内。是的话就结束了。 - 创建一个名字为 "BitHuender"的互斥体,并且遍历进程如果有以下进程就结束掉。steam做错了啥?? - 获取主流杀毒软件名字,并遍历进程,如果有的话就保存一下,并没有给结束。 - 解密生成密钥 - 这个病毒有混淆,IDA有的地方不能分析,接着动态分析看看 - 接着生成私钥 - 会被加密文件的后缀 - 接下来创建了一个线程(403cda),地址为 403dce,去ida中发现这个地址也不能反汇编 - 动态调试下看看这个线程在做什么启动网络资源的枚举,并且加密局域网共享目录 - 接下来获取磁盘类型,又启动了一个线程 获取了一些目录ProgramData.IETldCache.All Users.Windows.BootProgram FilesTor BrowserAll UsersLocal SettingsWindows- 如果是以上几种就不感染,除了函数直接jmp 到ret 如果是文件的话,以下几种不感染。 - 接下来就是遍历加密文件 生成随即名称 lock文件,记录的感染时间 创建勒索文档 生成以后缀为 ukczkvdo的文件,这个后缀是随机生成的
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
830487
飞翔币
224550
威望
224618
飞扬币
2422816
信誉值
0

只看该作者 1 发表于: 2019-11-27
来看一下
级别: 超级版主
发帖
830487
飞翔币
224550
威望
224618
飞扬币
2422816
信誉值
0

只看该作者 2 发表于: 2019-11-27
不错,了解了