本地勒索病毒简单分析
本帖最后由 ADD1ADD2 于 2022-5-16 18:44 编辑Local勒索病毒分析报告
目录
病毒信息1
病毒概况1
病毒危害1
手工清除方法1
漏洞补丁信息2
应对措施及建议2
文件行为2
进程行为3
注册表行为3
网络行为5
详细分析报告6
样本溯源分析15
病毒信息:
病毒名称:V1Fast.exe。
病毒家族:。
病毒类型:本地勒索病毒。
MD5: C3CCDE9C3FAB53D5C749B2186E997BDC。
SHA1: B494A696F4EDBBD3831163DFD0F1B5EFC134D068。
文件大小:PE EXE。
文件类型:57,344 字节。
传播途径:。
专杀信息:暂无
影响系统:软件无法使用。
样本来源:互联网
发现时间:。
入库时间:。
C2服务器:。
病毒概况
该样本来源于互联网,但是发布者并未对齐公开自身的分析,经过对其运行分析,该病毒属于勒索病毒一种,他会对系统文件(除了程序本身的重要程序文件)及其他程序进行删除备份加密,使所有软件基本上无法运行。
病毒危害
该病毒影响软件无法正常运行,文件及文件夹均被加密。
手工清除方法
暂无
漏洞补丁信息
暂无
应对措施及建议
1).建议用户保持良好的上网习惯,不要随意打开来路不明的邮件及文档。
2).及时更新系统及软件,保持系统和软件保持最新版本。
3).备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。
4).不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
5).安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6).不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
文件行为
1). 打开所以有文件。
2). 创建文件,
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exel......
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
3). 截断文件,
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe、
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
4). 写入文件,C:\WINDOWS\system32\wupdmgr.dll。
5). 设置文件属性
C:\Users\15PB\AppData\Local\V1Fast.exe
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
6). 修改文件
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe、
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
7). 遍历目录。
8). 重命名文件。
......
进程行为
1).打开进程 C:\Windows\System32\cmd.exe。
2).跨进程写入 向C:\Windows\System32\mshta.exe应用程序主机写入。
3).创建进程 c:\windows\system32\sysprep\sysprep.exe......。
4).枚举进程 ......。
5).加载模块C:\Windows\System32\vmhgfs.dlll......。
6).打开设备 \Device\hgfsInteranl......
注册表行为
1).创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\V1Fast
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\V1Fast
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation。
2).删除注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName。
3).创建注册表键:
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2c\AAF68885
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\CA
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\CA
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\CA
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\Disallowed
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\Disallowed
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\SmartCardRoot
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\trust
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\trust
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\trust
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2c\AAF68885
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache
网络行为
暂无
详细分析报告
1). 首先查看他的PE及壳信息这是一个VC8程序编写的未加壳程序:
2). OD与IDA 分析发现只有一个主函数,主函数第一步调用申请的堆空间,并对堆空间进行初始化:
3)创建V1Fast.exe进程/获取注册表键:
4)遍历盘符是否是C盘:
5)启动程序C:\Users\15PB\Desktop\Local.7z\V1Fast.exe,主要获取了加载任意dll的注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs,最后程序在自毁:
6)勒索病毒常用的命令用vssadmin运行删除所有卷影副本命令:
7)创建线程1,里面涉及到拷贝和复制文件操作,线性参数中存在一个创建进程操作:
8)拷贝文件到c\user\****\appdata\local\V1Fast.exe,修改文件属性,释放PE文件到自身,并且将这个复制文件设置启动项的四种方式,设置文件属性为0x00000000
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\V1Fast.exe,
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe:
9)重复步骤7:创建线程,线程中包含一个进程;
10)然后创建了三个线程waitforsingleobject等待,这三个线程对注册表,及文件进行了大量的操作,访问了注册表键的电脑用户,获取了用户名,获取系统组件,改变进程权限提权,并且遍历进程,遍历了目录文件,释放了隐藏文件,对文件夹进行重命名,并对文件进行加密:
11)下面的函数中发现一个网址,但是并未发现网络操作:
12)在存在的硬盘根目录下创建了提示语的勒索信息,在桌面上创建了info.hta弹窗程序,利用ShellExecuteExW弹出四个提示勒索窗口:
13)在桌面创建info.txt勒索信息提示语:
14)将提示语txt文件创建到C盘根目录下:
15)将提示窗口的程序info.hta创建在D盘的根目录下:
16)加载恶意模块并将,14/15操作盘符地址更换,使每一个硬盘下都存在提示语和提示弹窗:
17)接下来就是创建的三个线程对注册表,文件进行的加密。
样本溯源分析
通过对网址的分析:
结论:这种病毒对注册表相当偏爱,对文件的操作加密方式应该是一种非对称加密方式,留待以后细致分析。
勒索病毒危害性很大,有的纯粹就是骗钱,给充了B也不给解锁。
重要的服务器及电脑一定要装相应的防御措施。 这应该是phobs家族 感谢楼主分享 很厉害,感谢分享 大佬,感谢分享 学习了,感谢分享! 感谢分享! 不错厉害了 谢谢分享 挺好,谢谢分享