0x01 樣本概況
樣本信息
大小: 327680 bytes
修改時間: 2017年4月13日, 15:30:22
MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1: 863F5956863D793298D92610377B705F85FA42B5
CRC32: 1386DD7A
測試環境及工具
軟件環境:Windows7、VMware Workstation
硬件環境:局域網、PC機一臺
開發工具:OD、IDA、火絨劍、PCHunter、PEid、loadPe
網絡工具:WSExplorer
分析目標
病毒主要行爲
病毒傳播原理
查殺方法
0x02 行爲分析
將系統內的文本、文檔等文件加密,
每個文件夾都會生成文字版和圖片版的勒索信息
程序會自我刪除
程序會添加啓動項,僞裝成cmd,在cmd後面添加啓動參數
0x03 從混淆代碼中提取惡意代碼
申請內存
Virtuall下斷點,virtuall肯定是在第3個之後,也就是第4下硬件寫入斷點是49所以不是,,第4個就是3ac00 是大小也就是鏡像大小
dump後結果
創建進程
CreateProcessW下硬件執行斷點,看到有進程掛起了,因此要WriteProcessMemory進行下硬件執行斷點,查看往buffer裏面寫數據,
然後進行dump是根據經驗
0x04 分析流程
兩個GetProcAddress函數之後的函數sub_402170 不清楚是幹什麼的 我們跟進去看看
運行結果如圖內存示意圖,得知該函數是解密字符串的函數由此圖與上圖比較可知該函數是用於去掉後綴名後邊的“;”的
文本Unicode的64位
提權函數
也就是說 該函數是要獲取環境變量名爲“windir”的內容、並存到0x12BB90中其結果爲“C:\Windows”
#0x05 總結
勒索病毒最常見的免殺手段就是加混淆,類似殼,初學病毒分析往往會停在這個地方,但經過周密的分析還是可以提取到惡意代碼,然後在進一步分析。勒索病毒現在已經橫掃全世界,只是一味的分析樣本是改變不了中病毒的宿命的,所以我們接下來要考慮的就是寫一個工具防止勒索病