吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7027|回复: 2
收起左侧

[PC样本分析] GandCrab v5.2分析

[复制链接]
帛青赤 发表于 2019-11-27 00:23
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
第一次分析有很多没分析到的地方,多多见谅,样本是从论坛下的,我一会再传一个。另外这个样本有混淆阻挡静态分析,有好方法的大佬可以回复一下好的方法吗?
病毒简介

    GandCrab勒索病毒于2018年1月首次出现,并出现了很多变种,GandCrab病毒家族主要通过RDP暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。病毒本身不具有蠕虫传播能力,但会通过枚举方式对网络共享资源进行加密,同时攻击者往往还会通过内网人工渗透方式,利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击并植入该病毒。在一年半内赚进超过20亿美金后,他们决定金盆洗手,关闭这个恶意程序。2019年6月,GandCrab勒索病毒团队相关论坛发表俄语官方声明,将在一个月内关闭其RaaS(勒索软件即服务)业务。

样本信息

文件: C:\Users\win7\Desktop\VW5\VW5.exe

大小: 95232 bytes

修改时间: 2019年2月24日, 22:15:11

MD5: B48F9C12805784546168757322A1B77D

SHA1: 527C655FE98810AB22B6F36C9677D862BC66770E

CRC32: 8F03CEAF


查壳

使用PEiD查壳,链接器版本是14.0 是vs2015写的程序,区段也很正常。

image.png
大致分析

- 加载了C:\Windows\System32\vmhgfs.dll 模块



image.png



- 文件操作有点多,大致是遍历目录生成txt文件。和后缀为.lock的文件。

image.png
- txt的内容大概是告诉我们文件被加密了,不要删除,和购买私钥的具体方法。

image.png
具体分析

-入口处发现不能反汇编,猜测可能动态解密或者有混淆,使用动态调试看看吧。

image.png

- 使用OD分析发现有多处混淆,由于我没什么太好的方法于是就单步分析。

- 获取用户名,及一些计算机信息配置信息磁盘空间信息和当前使用的输入法


image.png
image.png

image.png

- 通过注册表获得当前使用的输入法判断是否是俄语

image.png

- 然后又获取了这些国家的输入法标识,通过GetUserDefaultUILanguage获得本机 输入法标识。具体对应的国家可以去`https://docs.microsoft.com/zh-cn ... -90a5-ce1a8b0cdb9c` 查询。循环比较是不是在这些国家内。是的话就结束了。


image.png
image.png
- 创建一个名字为 "BitHuender"的互斥体,并且遍历进程如果有以下进程就结束掉。steam做错了啥??
image.png

image.png
image.png
- 获取主流杀毒软件名字,并遍历进程,如果有的话就保存一下,并没有给结束。

image.png
- 解密生成密钥

image.png
- 这个病毒有混淆,IDA有的地方不能分析,接着动态分析看看

image.png

- 接着生成私钥

image.png
- 会被加密文件的后缀

image.png

image.png
- 接下来创建了一个线程(403cda),地址为 403dce,去ida中发现这个地址也不能反汇编


image.png
image.png
- 动态调试下看看这个线程在做什么
启动网络资源的枚举,并且加密局域网共享目录

image.png
- 接下来获取磁盘类型,又启动了一个线程

image.png
获取了一些目录

\ProgramData\.

\IETldCache\.

\All Users\.\Windows\.

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\


- 如果是以上几种就不感染,除了函数直接jmp 到ret

image.png



如果是文件的话,以下几种不感染。

image.png

- 接下来就是遍历加密文件

image.png
生成随即名称 lock文件,记录的感染时间
image.png

创建勒索文档


image.png

image.png
生成以后缀为 ukczkvdo的文件,这个后缀是随机生成的

image.png

免费评分

参与人数 6威望 +2 吾爱币 +13 热心值 +5 收起 理由
Spwpun + 1 + 1 要是能稍微总结一下就好了
Hmily + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
gaosld + 1 + 1 用心讨论,共获提升!
pwp + 2 + 1 我很赞同!
willJ + 1 + 9 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
kevin_2019 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

pwp 发表于 2019-11-27 15:01
大佬思路侵袭,适合小白膜拜。
工程欧巴 发表于 2019-11-27 18:17
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 13:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表