病毒分析小白尝鲜-GANDCRAB勒索家族分析
本帖最后由 Wseventeen 于 2023-6-10 09:52 编辑结合最近学习的一些东西,找了一个老家族写的分析笔记,写的比较简单,大佬勿喷{:1_924:}
样本背景
GandCrab于2018年年初问世,主要利用RDP爆破、钓鱼邮件、捆绑软件、僵尸网络、CVE-2017-8570漏洞利用等方式进行攻击,此家族病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后为.GDCB、.GRAB、.KRAB或5-10位随机字母,将感染主机桌面背景替换为勒索信息图片。GandCrab5.1之前版本可尝试使用解密工具解密,最新GandCrab5.2无法解密。老勒索家族了,所以我在公开的威胁情报上找了一个最新被上传的样本做简要分析。
加壳情况
文件未加壳
互斥体
互斥体名称:Global\pc_group=WORKGROUP&ransom id=79e2d4c8a42336Gb
关进程
遍历并关闭所列举的进程,防止文件在加密过程中被占用
获取系统信息
通过注册表检查了当前用户组,所在地区,操作系统,系统版本号,CPU信息,以及磁盘类型和磁盘容量
恶意外联
通过GET和POST请求外联恶意域名
发起一个HTTP请求操作,首先通过HttpAddRequestHeadersW函数添加HTTP请求头参数,然后通过HttpSendReqst函数发送HTTP请求,并且获取HTTP响应。如果HttpSendRequestW函数返回真,则继续从网络资源获取响应数据,函数InternetReadFile通过指定HTTP连接句柄v15来获取http数据,读取到的数据存放在v16所指的缓存区,读取的字节数为a7 - 1,同时返回完整的服务器名称到lpszServerName中。其中,函数返回的结果被用于判断HTTP请求是否成功,如果成功,就继续从网络资源获取数据,如果失败,则通过函数GetLastError获取错误信息。
当前域名已无法访问
设置注册表信息
加密部分
使用CryptGenKey生成RSA的公私钥对,之后用CryptExportKey导出
使用FindFirstFileW和FindNextFileW接口遍历文件目录下的所有文件进行加密,并释放出勒索信
加密过程中注入到系统advapi32.dll
删除卷影
删除卷影拷贝,防止用户恢复原文件
公司远程电脑中了勒索病毒,我直接格式化了。。。不敢挂远程了 大神牛逼!!!!!! 佩服楼主,能分析下TellYouThePass勒索病毒吗 底部有2张图是不是贴丢了? 优秀,非常牛
优秀,非常牛 GetDriveTypeW 这个是判断磁盘类型的,你看他下面有个 大于等于2 不等于5的那个判断,意思是先判断磁盘类型,如果是正常挂载的 非CD盘 再去进入到加密流程 chmod755 发表于 2023-6-15 09:34
GetDriveTypeW 这个是判断磁盘类型的,你看他下面有个 大于等于2 不等于5的那个判断,意思是先判断磁盘类型 ...
感谢大佬指正{:1_893:} 重要文件移动硬盘备份,要是加密了就直接低格了重做系统,一般的这类勒索的问题都能解决把。