一次客户现场找到的phobs勒索病毒分析(简单分析)
2022年的某天正常上班,突然一条消息说xxx客户中了勒索病毒,遂前去处置处理流程:1,将中毒的终端隔离断网。2,寻找勒索病毒源文件以及路径(主要是客户要我们干这件事),3,备份恢复。细节处就不多说了,网上很多了
发现后缀是为elbie的phobs勒索病毒的,并在 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup”和“%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup这两个目录找到了源文件
拿源文件掉到沙箱,释放的文件跟终端的一样
1,分析病毒功能点
从ws32来看,应该有外连。
外连操作:sub_403CBD
Start -> sub-4029F5 ->sub_40271B
Sub_403B33检索注册表的值
分配SID值并检查是否一致
权限操作,
进程操作,具体功能是获取进程列表,进程命令行,根据进程列表,选择性关闭进程
还有socket
最后通过OD看到遍历文件往每个文件夹放入勒索文件
到这就无了,这是我这个新手第一次分析样本,哪里有错误大佬们还请指点一番 写的不错,太厉害了 终于学到了 作为小白选手,我发现两个亮点,第一个如何寻找病毒母体,第二个扔沙箱进行分析 谢谢楼主 学到了技多不压身 哇哦,膜拜 学到了0.0
大佬牛掰