感染后,会加密文件,无法打开文件
0x01 病毒行为分析
-
查壳:无壳
-
用PE explorer查看导入dll:
查看导入dll -
用API Monitor查看导入dll:
image.png -
资源分析:发现很多都出现错误
-
可发现启动项已被修改:image.png
-
发现该病毒会访问一个固定ip:
45.76.81.110的80端口:image.png -
注册表多处被修改:注册表值修改
0x10 病毒程序分析
-
用IDA直接分析该病毒并没有找到病毒感染特征:无感染特征
-
用OD打开病毒文件,下dll载入断点分析程序内存块:下断点, 中断于新DLL, 等程序解密完之后,就能看到真正的勒索程序
-
发现dll被加载后,多出几个内存区段,猜测那是加载dll解密后的病毒程序: 从memory map中可看到新增了一段数据, 打开看是程序文件头格式, 可确认是勒索程序, dump出来即可用IDA分析
真正勒索程序OEP
-
获取根目录信息函数: 获取根目录卷信息函数
-
这里可知特殊的ID是根据C盘的卷标序列号和用户名生成的:image.png
-
进一步分析可看到被排除的文件目录: 排除加密的文件
-
待加密的文件格式: 待加密的文件格式
-
连接远程服务器的源码: 向远程服务器连接的源码
-
文件加密过程: 文件加密过程
