GandCrab v5.2 勒索病毒分析报告
GandCrab v5.2 勒索病毒分析样本分析
PE基本信息
样本信息vw5.exe
MD5b48f9c12805784546168757322a1b77d
SHA2563ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1
文件大小93.0kb
编译信息vs2015
通过od查看,可以看出版本号为5.2
该程序是由vs2015编译的32位可执行程序
病毒修改时间为2019-2-24
该程序未发现加壳信息
执行流程简介
程序首次执行时,会获取本机所有信息,生成勒索ID,如果属于特定地区语言,就不对此电脑进行加密,否则会遍历计算机文件,对文件进行加密,并在同级目录下生成勒索信(-MANUAL.txt)并更换桌面壁纸为特定壁纸,勒索信内容如下:
对样本分析 获取本机的信息
SBOX:
使用以下语言,就不会对本电脑加密
0x419 俄语 0x422乌克兰语
0x423 比利时语 0x428塔克吉语
0x42B 亚美尼亚东部 0x42C阿赛里语(拉丁文)
0x437 格鲁吉亚 0x43F哈萨克语
0x440 吉尔吉斯西里尔文 0x442 土库曼语
0x443 乌兹别克语(拉丁语) 0x444 塔但语
0x818 罗马尼亚语 0x819 俄罗斯-摩尔多瓦
0x82C 阿赛里语(西里尔文) 0x843 乌兹别克(西尔里文)
0x45A 叙利亚语 0x2801 阿拉伯语(叙利亚)
注:表格参考网上加密语言
创建互斥体
RC4加密算法函数
生成用户的公私钥函数
与5做异或运算以后,再计算本机的base64,及RSA加密后的数据
对公钥的加密
创建勒索信,名字以-MANUAL.txt命名
会被加密文件的后缀名
勒索信内容
生成的勒索信不再加密
随机生成加密文件的后缀
病毒生成的桌面
样本:
解压密码:52pojie whygo 发表于 2019-10-18 13:31
谢大佬,第一次发帖,本来word我一段一段复制文字,然后再加图片的,但审核的时候格式还是乱的
word有些编码不能识别,最好是复制点击右上角纯文本粘贴编辑好点。 Hmily 发表于 2019-10-18 11:05
是不是从word复制过来的,格式有些乱,我给你编辑下,把图片换了行。
谢大佬,第一次发帖,本来word我一段一段复制文字,然后再加图片的,但审核的时候格式还是乱的 是不是从word复制过来的,格式有些乱,我给你编辑下,把图片换了行。 支持支持!!! 谢谢楼主发现学习了:lol 挺好的文章 学习了,不错哦 强烈支持~!!!! 你还需要样本吗?我传给你一份
页:
[1]
2