-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-04-25
- 在线时间18416小时
-
- 发帖770867
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770867
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
2022年的某天正常上班,突然一条消息说xxx客户中了勒索病毒,遂前去处置处理流程:1,将中毒的终端隔离断网。2,寻找勒索病毒源文件以及路径(主要是客户要我们干这件事),3,备份恢复。细节处就不多说了,网上很多了发现后缀是为elbie的phobs勒索病毒的,并在 %AppData%MicrosoftWindowsStart MenuProgramsStartup”和“%ProgramData%MicrosoftWindowsStart MenuProgramsStartup这两个目录找到了源文件拿源文件掉到沙箱,释放的文件跟终端的一样 1,分析病毒功能点从ws32来看,应该有外连。 外连操作:sub_403CBD Start -> sub-4029F5 ->sub_40271B Sub_403B33检索注册表的值 分配SID值并检查是否一致 权限操作, 进程操作,具体功能是获取进程列表,进程命令行,根据进程列表,选择性关闭进程 还有socket 最后通过OD看到遍历文件往每个文件夹放入勒索文件 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]到这就无了,这是我这个新手第一次分析样本,哪里有错误大佬们还请指点一番
|
