CryptoShield 勒索病毒分析

感染后,會(huì)加密文件,無(wú)法打開(kāi)文件

0x01 病毒行為分析

  1. 查殼:
    無(wú)殼

  2. PE explorer查看導(dǎo)入dll:

    查看導(dǎo)入dll

  3. API Monitor查看導(dǎo)入dll:

    image.png

  4. 資源分析:
    發(fā)現(xiàn)很多都出現(xiàn)錯(cuò)誤

  5. 可發(fā)現(xiàn)啟動(dòng)項(xiàng)已被修改:
    image.png

  6. 發(fā)現(xiàn)該病毒會(huì)訪問(wèn)一個(gè)固定ip:45.76.81.110的80端口:

    image.png

  7. 注冊(cè)表多處被修改:
    注冊(cè)表值修改

0x10 病毒程序分析

  1. 用IDA直接分析該病毒并沒(méi)有找到病毒感染特征:
    無(wú)感染特征

  2. 用OD打開(kāi)病毒文件,下dll載入斷點(diǎn)分析程序內(nèi)存塊:
    下斷點(diǎn), 中斷于新DLL, 等程序解密完之后,就能看到真正的勒索程序

  3. 發(fā)現(xiàn)dll被加載后,多出幾個(gè)內(nèi)存區(qū)段,猜測(cè)那是加載dll解密后的病毒程序:
    從memory map中可看到新增了一段數(shù)據(jù), 打開(kāi)看是程序文件頭格式, 可確認(rèn)是勒索程序, dump出來(lái)即可用IDA分析

4.IDA打開(kāi)dump出來(lái)的二進(jìn)制文件, 能完整分析文件:
真正勒索程序OEP

  1. 獲取根目錄信息函數(shù):
    獲取根目錄卷信息函數(shù)

  2. 這里可知特殊的ID是根據(jù)C盤(pán)的卷標(biāo)序列號(hào)和用戶名生成的:
    image.png

  3. 進(jìn)一步分析可看到被排除的文件目錄:
    排除加密的文件

  4. 待加密的文件格式:
    待加密的文件格式

  5. 連接遠(yuǎn)程服務(wù)器的源碼:
    向遠(yuǎn)程服務(wù)器連接的源碼

  6. 文件加密過(guò)程:
    文件加密過(guò)程
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

  • Android 自定義View的各種姿勢(shì)1 Activity的顯示之ViewRootImpl詳解 Activity...
    passiontim閱讀 178,939評(píng)論 25 709
  • 再有三個(gè)月就是到北京五年了。 這五年過(guò)得特特特特特別不容易,我想在這里寫(xiě)一寫(xiě)這逝去的五年,紀(jì)念過(guò)去五年努力的自己。...
    水二閱讀 345評(píng)論 1 3
  • 單例不會(huì)被回收
    zlzxm閱讀 95評(píng)論 0 0
  • 2018.1.23.晴 沒(méi)記性的我,在念叨了好幾天問(wèn)東問(wèn)西(無(wú)問(wèn)西東)的電影后,今天終于如愿踏進(jìn)了電影院,給我的王...
    叮鐺之眼閱讀 549評(píng)論 0 1
  • 2017年9月12日 星期二 天氣晴 每逢佳節(jié)精神好,今天可是個(gè)好日子――“財(cái)神節(jié)”。一大早上起床...
    金騰岳媽媽閱讀 329評(píng)論 0 0

友情鏈接更多精彩內(nèi)容