吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13316|回复: 16
收起左侧

[PC样本分析] GandCrab v5.2 勒索病毒分析报告

  [复制链接]
whygo 发表于 2019-10-17 14:20
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
GandCrab v5.2 勒索病毒分析

样本分析
PE基本信息
样本信息
vw5.exe
MD5
b48f9c12805784546168757322a1b77d
SHA256
3ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1
文件大小
93.0kb
编译信息
vs2015

通过od查看,可以看出版本号为5.2
图片1.png

该程序是由vs2015编译的32位可执行程序
图片2.png

病毒修改时间为2019-2-24
图片3.png

该程序未发现加壳信息
图片4.png
图片5.png

执行流程简介
程序首次执行时,会获取本机所有信息,生成勒索ID,如果属于特定地区语言,就不对此电脑进行加密,否则会遍历计算机文件,对文件进行加密,并在同级目录下生成勒索信(-MANUAL.txt)并更换桌面壁纸为特定壁纸,勒索信内容如下:
图片6.png

对样本分析 获取本机的信息
图片7.png

SBOX:
图片8.png

使用以下语言,就不会对本电脑加密
图片9.png

0x419 俄语 0x422乌克兰语
0x423 比利时语 0x428塔克吉语
0x42B 亚美尼亚东部 0x42C阿赛里语(拉丁文)
0x437 格鲁吉亚 0x43F哈萨克语
0x440 吉尔吉斯西里尔文 0x442 土库曼语
0x443 乌兹别克语(拉丁语) 0x444 塔但语
0x818 罗马尼亚语 0x819 俄罗斯-摩尔多瓦
0x82C 阿赛里语(西里尔文) 0x843 乌兹别克(西尔里文)
0x45A 叙利亚语 0x2801 阿拉伯语(叙利亚)
注:表格参考网上加密语言
创建互斥体
图片10.png

图片11.png

RC4加密算法函数
图片12.png

生成用户的公私钥函数
图片13.png

与5做异或运算以后,再计算本机的base64,及RSA加密后的数据
图片14.png

图片15.png

图片16.png

对公钥的加密
图片17.png

创建勒索信,名字以-MANUAL.txt命名
图片18.png

会被加密文件的后缀名
图片19.png

图片20.png

勒索信内容
图片21.png

生成的勒索信不再加密
图片22.png

随机生成加密文件的后缀
图片23.png

病毒生成的桌面
图片24.png

图片25.png

样本: VW5.rar (54.64 KB, 下载次数: 132)
解压密码:52pojie

免费评分

参与人数 5威望 +1 吾爱币 +10 热心值 +5 收起 理由
noryeral + 1 + 1 大佬厉害了
linzi0713 + 1 + 1 热心回复!
Hmily + 1 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
WindTer + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
一枝梨花 + 1 热心回复!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2019-10-18 14:12
whygo 发表于 2019-10-18 13:31
谢大佬,第一次发帖,本来word我一段一段复制文字,然后再加图片的,但审核的时候格式还是乱的

word有些编码不能识别,最好是复制点击右上角纯文本粘贴编辑好点。
 楼主| whygo 发表于 2019-10-18 13:31
Hmily 发表于 2019-10-18 11:05
是不是从word复制过来的,格式有些乱,我给你编辑下,把图片换了行。

谢大佬,第一次发帖,本来word我一段一段复制文字,然后再加图片的,但审核的时候格式还是乱的

点评

word有些编码不能识别,最好是复制点击右上角纯文本粘贴编辑好点。  详情 回复 发表于 2019-10-18 14:12
Hmily 发表于 2019-10-18 11:05
是不是从word复制过来的,格式有些乱,我给你编辑下,把图片换了行。
WindTer 发表于 2019-10-18 11:39
支持支持!!!
chenjingyes 发表于 2019-10-19 02:34
谢谢楼主发现  学习了
heiketian10 发表于 2019-10-19 07:57
挺好的文章      
蜜柚吃吧 发表于 2019-10-19 13:30
学习了,不错哦
Dkkk24 发表于 2019-10-20 16:59
强烈支持~!!!!
iteamo 发表于 2019-10-21 08:06
你还需要样本吗?我传给你一份
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:25

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表