勒索病毒分析

​轉載自CSDN-初識逆向大神

本文連接：https://blog.csdn.net/w_g3366/article/details/100590112

文章目錄

• 勒索病毒分析報告
• 1．樣本概況
  • 1.1 樣本信息
  • 1.2 測試環境及工具
  • 1.3 分析目標
  • 1.4 樣本行爲概述
• 2．具體行爲分析
  • 2.1 主要行爲
  • 2.2 提取惡意代碼
  • 2.3 惡意代碼分析
• 3．解決方案
  • 3.1 提取病毒的特徵，利用殺毒軟件查殺
  • 3.2 手工查殺步驟或是查殺思路

勒索病毒分析報告

1．樣本概況

1.1 樣本信息

病毒名稱：DBD5BEDE15DE51F6E5718B2CA470FC3F
所屬家族：勒索病毒
大小: 327680 bytes
修改時間: 2017年4月13日, 15:30:22
MD5值： DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1值： 863F5956863D793298D92610377B705F85FA42B5
CRC32：1386DD7A

1.2 測試環境及工具

測試環境:虛擬機Windows 7 32位
測試工具:火絨劍、PCHunter、PEiD、OllyDbg、IDA、LoadPE

1.3 分析目標

分析病毒具體行爲，找到病毒行爲的具體實現代碼，瞭解病毒實現原理，評估病毒的威脅程度。

1.4 樣本行爲概述

是一個勒索軟件，樣本運行後的行爲：
①將系統內的文本、文檔等文件加密
②每一個文件夾都會生成文字版和圖片版的勒索信息
③程序會自我複製，自我刪除，遍歷進程
④程序會修改註冊表，添加啓動項，開機彈出勒索信息
⑤向87.238.19二、85.128.216.188和85.13.137.133的80端口發送數據

2．具體行爲分析

2.1 主要行爲

①自我複製，自我刪除,啓動新進程

②加密文件,生成文字版和圖片版的勒索信息

③設置自啓動項，啓動項假裝成CMD

定位到註冊表能夠查看啓動項cmd的參數

④遍歷進程

⑤網絡鏈接,泄漏用戶信息

2.2 提取惡意代碼

原樣本存在大量的混淆代碼。根據樣本行爲能夠發現程序會釋放新的進程，而後自我刪除。能夠猜想是在新進程中執行惡意代碼。VirtualAlloc申請內存API，CreateProcessW建立進程API下斷點，過程當中從申請的內存中Dump出來兩份PE文件，第一個PE文件和原文件徹底相同，第二個PE文件比原程序要小而且沒有混淆代碼。

CreateProcessW建立進程函數執行時，可能會執行惡意代碼。重點分析，根據參數能夠發現進程建立後是掛起的，這是病毒建立傀儡進程的經常使用操做。在恢復進程ResumeThread API函數下斷點。程序運行到這時，經過修改參數禁止恢復進程。

恢復進程ResumeThread執行後，樣本進程就退出了。能夠發現電腦文件並無被病毒加密。至此，能夠肯定建立進程函數要執行的就是第二個PE文件。惡意代碼就是該PE文件，因此詳細分析該文件就能夠了。

2.3 惡意代碼分析

2.3.1 樣本中Dump的惡意代碼基本信息
在分析樣本時，樣本會在內存中釋放出來一個PE文件，負責執行惡意攻擊行爲。Dump內存獲得的是一個.exe文件，使用PEID查看基本信息，能夠肯定是VS2010編寫的。

2.3.2 樣本中Dump的惡意代碼分析
①程序流程和關鍵函數樣本的主要流程和關鍵惡意代碼函數見下圖

關鍵代碼執行流程：

②檢測代碼分析
樣本開始有一系列的檢測代碼,若是觸發就會退出進程。

樣本的流程先拷貝自身，執行新進程，退出本進程。OD動態調試,實時修改驗證函數返回值，使進程不退出。

樣本中不少函數都調用了sub_4013B0，用OD動態分析，肯定該函數功能是獲取函數地址。

③解密字符串函數分析
Sub_402170函數的解密流程:申請內存->解密字符串->釋放內存。解密關鍵函數是Sub_403EB0，一共解密五組字符串。

解密獲得各類擴展名字符串

解密獲得生成勒索信息文件名用到的字符串

解密獲得代碼中經常使用用到的各類字符串，如cmd命令、系統環境變量等

解密獲得各類網址

解密獲得勒索文本內容

④獲取權限信息和提升進程權限
獲取進程權限信息

提升進程權限

⑤自我複製和刪除

⑥修改註冊表，設置啓動項

⑦建立病毒備份文件

⑧線程回調1：枚舉進程
判斷進程中若是存在任務管理器、註冊表、進程工具、組策略、cmd，將其結束掉。


⑨線程回調2：執行Shell腳本

⑩線程回調3：經過HTTP協議鏈接網絡，發送數據

⑪線程回調4：遍歷文件
獲取用戶設備信息，遍歷指定磁盤文件

遍歷磁盤，若當前對象是文件夾，則在每一個文件夾目錄下建立勒索文本和圖片

若當前對象是文件，執行加密指定類型的文件行爲

3．解決方案

3.1 提取病毒的特徵，利用殺毒軟件查殺

①病毒特徵
UNICODE:"+recover+file.txt"
UNICODE:「C:\Windows\SYSTEM32\CMD.EXE \C START」
②Yara規則

 
 
 
 

  
  
  
  
1
  
  
  
  
2
  
  
  
  
3
  
  
  
  
4
  
  
  
  
5
  
  
  
  
6
  
  
  
  
7
  
  
  
  
8
 
 
 
 
rule vir
{
 strings:
  $text_1="+recover+file.txt"
  $text_2="C:\Windows\SYSTEM32\CMD.EXE \C START"
 condition:
  $text_1 or $text_2
}

3.2 手工查殺步驟或是查殺思路

勒索病毒查殺思路：

1. 勒索病毒使用的文件加密算法以目前的技術手段是沒法解密的。也就是說，中了勒索病毒,沒有密鑰很難去還原文件。
2. 須要提早作好預防工做，提升系統安全級別。分析出勒索病毒提取特徵,更新病毒庫，殺毒軟件就能夠在電腦中勒索病毒以前以前將病毒截獲清除。

若是不慎中了勒索病毒，可根據如下步驟先將電腦病毒清除，防止形成更大的損失。手工查殺步驟：

1. 使用PCHunter結束病毒進程樹
2. 刪除註冊表啓動項，服務啓動項
3. 刪除病毒exe文件
4. 刪除個人文檔目錄下的病毒備份文件"+recover+file.txt"
5. 遍歷磁盤文件,刪除勒索信息文件

​