码迷,mamicode.com
首页 > 其他好文 > 详细

Ransomware勒索病毒分析报告

时间:2019-11-13 12:47:24      阅读:102      评论:0      收藏:0      [点我收藏+]

标签:病毒分析   margin   创建   应用程序   file   style   命令   32位   目的   


Ransomware勒索病毒分析报告

样本名

Ransomware.exe

班级

34

作者

梅源

时间

2019年10月25日

平台

VM Windows 7 32

15PB信息安全研究院(协议分析报告)

1样本概况

1.1 应用程序信息

应用程序名称:Radamant勒索病毒

大小: 85824 bytes

修改时间: 2019-10-26 12:06:22

MD5: 9b7b16867eeab851d551bfa014166e1a

SHA1: be080d99a299a8708461efce76b524b82142fb28

简单功能介绍:安装自身到C:\User\15pb-win7\AppData\Roaming目录下并重命名为DirectX.exe并将文件属性设置为隐藏后执行,删除自身 ,修改注册表自启动,checkip.dyndns.org发送get请求,接收来自服务器的指令,并执行(病毒更新,发送宿主机信息,加密电脑文件,解密电脑文件)

1.2 分析环境及工具

系统环境:VM Windows 7 32位

工具: PC-Hunter,OD,IDAPro,PEID,Hash,火绒剑

1.3 分析目标

能进行更新病毒,远程操控宿主机,并加密文件

2.具体分析过程

2.1 提取样本

? 使用ARK(PC-Hunter)工具查看可以进程

技术图片

技术图片

? 使用ARK(PC-Hunter)工具查看启动项

技术图片

? 使用ARK工具查看服务

未发现可疑项

? 使用ARK工具查看驱动

未发现可疑项

? 使用ARK工具查看内核

技术图片

? 使用ARK工具查看网络连接,其他杂项

发现网络连接有异常行为

技术图片

? 使用抓包工具(WSExplorer)查看可以流量

也无流量操作

提取样本:

将路径下文件提取到本地,并修改扩展名未vir

C:\Users\15pb-win7\AppData\Roaming\DirevtX.exe

C:\Users\15pb-win7\AppData\Roaming\DirevtX.vir

2.1.1 行为分析

1. 文件操作

可以看到对文件进行了很多操作首先由少到多进行观察,具体行为

技术图片

查看删除,创建,重命名文件的操作

技术图片

发现创建文件,观察文件部分文件与样本大小一致

技术图片

1. 注册表监控

查看操作注册表键\表项值

技术图片

1. 进程监控

创建进程

技术图片

1. 网络监控

无有价值内容

2.2 详细分析

1. PEID查壳,无壳

技术图片

程序首先检查是否以存在感染文件

技术图片

若不存在感染文件,程序就会复制自身到C:\Users\15pb-win7\Roaming目录下,并修改文件名为DirectX.exe,修改文件属性为隐藏,并删除自身

技术图片

检查注册表启动项中是否存在Directx.exe

技术图片

创建互斥体,打开cmd并以管理员方式运行脚本

技术图片

随后再次检查注册表启动项,判断DirectX.exe是否已存在,若不存在就添加为注册表启动项

技术图片

创建互斥体检查是否以存在,获取hash值,获取MD5值,在解密域名

技术图片

循环三次连接服务器,如果连接失败,则再次尝试,如果成功则,接收数据

技术图片

技术图片

判断是否存在注册表项,若无,则向服务器发送post请求给服务器,将最终操纵病毒的服务器的域名等信息写入注册表项

技术图片

技术图片

技术图片

创建线程,执行病毒操作,向服务器发送post请求,获取命令,对计算机,执行文件加密,锁屏,以及弹窗提示,并在此函数中进行判断是否解密,并对文件进行解密。若服务器请求发送失败,就在桌面创建url文件名为YOUR_FILES.url诱惑用户点击

技术图片

技术图片

技术图片

若开始请求服务器更新注册表键值时请求失败,则同样创建桌面文件YOUR_FILES_url尝试欺骗用户点击,

技术图片

1. 总结

Radamant勒索病毒主要分成了两个部分

第一部分:自我复制

拷贝自己到C:\Users\15pb-win7\AppData\Roaming\DirevtX.exe,将文件属性设置为隐藏并删除自身源文件

第二部分:病毒感染

添加注册表启动项,向服务器发送请求,获取指令操作系统修改注册表项,加密系统源文件,若自己连接服务器失败则创建YOUR_FILE.url诱惑用户点击尝试连接服务器,以达到勒索用户的目的

Ransomware勒索病毒分析报告

标签:病毒分析   margin   创建   应用程序   file   style   命令   32位   目的   

原文地址:https://www.cnblogs.com/Check-me/p/11847845.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!