吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12784|回复: 69
上一主题 下一主题
收起左侧

[PC样本分析] 臭名昭著的Nefilim勒索团伙样本分析

  [复制链接]
跳转到指定楼层
楼主
Hcho 发表于 2021-11-5 16:47 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
样本信息



木马概述
    此样本为 Nefilim 团伙勒索病毒,加密后缀为.MERIN,执行后会遍历操作系统中特定后缀文件进行加密,采用的加密算法为RSA。


木马执行细节
Base64解密恶意字符串
    样本中的恶意字符串都存在Base64加密,以此绕过静态分析。
   

初始化CNG
    从这里可以看出样本对文件的加密方式为非对称加密:
   

导入密钥对
   

确定磁盘类型
    从A盘开始循环遍历:
   
   

创建线程遍历目录创建勒索文本并对文件进行加密
    如果找到有效磁盘则创建线程:
   

    遍历目录创建勒索文本
        
        

    判断文件后缀
        加密时略过以下后缀:
        

    加密文件
        ① 首先生成2个随机数:
        
        ② 对生成的2个随机数进行RSA加密,并储存在申请的内存当中,大小均为0x100个字节:
        
        ③ 文件末尾写入第一个随机数加密后的0x100字节:
        
        
        ④ 文件末尾追加第二个随机数加密后的0x100字节:
        
        
        ⑤ 文件末尾加5字节 ”MERIN”:
        
        
        ⑥ 加密文件内容:
        首先读取文件内容:
        
        调用其加密函数对文件内容进行加密:
        
        
        然后将加密后的内容写入文件:
        
        ⑦ 最后在文件后缀上加上 .MERIN:
        
        

加密后的文件结构
   


执行流程总结

免费评分

参与人数 47吾爱币 +40 热心值 +40 收起 理由
zzssd + 1 我很赞同!
xxbb12138 + 1 + 1 我很赞同!
espper + 1 + 1 我很赞同!
JuDC8 + 1 + 1 用心讨论,共获提升!
bbsokok + 1 + 1 谢谢@Thanks!
yatere + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
qfniubi + 1 + 1 谢谢@Thanks!
szkent + 1 + 1 谢谢@Thanks!
TianXiaYu + 1 + 1 谢谢@Thanks!
yahushau + 1 我很赞同!
momoxi + 1 我很赞同!
jasonliu233 + 1 谢谢@Thanks!
RandomX2020 + 1 + 1 谢谢@Thanks!
kuaile365 + 1 + 1 谢谢@Thanks!
shanxiren + 1 + 1 感谢发布
feiyang1 + 1 + 1 谢谢@Thanks!
beautiful1112 + 1 我很赞同!
makishiro + 1 热心回复!
lingyudada + 1 <font style="vertical-align: inherit;"><font style=
attributes + 1 谢谢@Thanks!
yitu13 + 1 + 1 用心讨论,共获提升!
杨辣子 + 1 + 1 用心讨论,共获提升!
iandros + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
wen19871015 + 1 + 1 热心回复!
chen1860906 + 1 + 1 用心讨论,共获提升!
℡小疯、 + 1 + 1 热心回复!
扼守秋天 + 1 鼓励转贴优秀软件安全工具和文档!
JinxBoy + 1 谢谢@Thanks!
timeni + 1 热心回复!
xiaohanjss + 1 + 1 用心讨论,共获提升!
chenmintian + 1 + 1 我很赞同!
yaozhongcan + 2 + 1 用心讨论,共获提升!
cloudy520 + 1 + 1 用心讨论,共获提升!
woyucheng + 1 + 1 热心回复!
sgyz520 + 1 + 1 我很赞同!
ldy2333 + 1 + 1 用心讨论,共获提升!
cc66528 + 1 + 1 我很赞同!
hetaolu + 1 谢谢@Thanks!
sunning-H-C + 1 谢谢@Thanks!
OYyunshen + 1 + 1 我很赞同!
浩浩君 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
safe-夏天 + 1 + 1 厉害了,给分鼓励一下
coder9527 + 1 + 1 热心回复!
Yc0 + 1 + 1 用心讨论,共获提升!
huayi + 1 我很赞同!
梦入神机 + 2 + 1 用心讨论,共获提升!
smile1110 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
smile1110 发表于 2021-11-5 17:43
@Hcho  写的不错,继续加油
推荐
cericking 发表于 2021-11-7 22:01
恶意字符串都存在Base64加密,以此绕过静态分析。
这个方式非常nice。由此可见,静态分析 应该加入 机械Base64的功能啊
3#
sharkvv 发表于 2021-11-5 18:26
4#
eoo 发表于 2021-11-5 18:35
向大佬学习
5#
ynboyinkm 发表于 2021-11-5 19:08
高手,收藏慢慢研究!
6#
xiaolong23330 发表于 2021-11-5 19:39
条理清晰,赞
7#
OYyunshen 发表于 2021-11-5 19:50
这个流程图,厉害啊,帮助了我!!感谢!!
8#
ThanatosXY 发表于 2021-11-5 20:23
别的不说,最后的流程图赞了
9#
cc66528 发表于 2021-11-5 21:57
执行流程总结这个图写得很清晰,一眼就看懂了
10#
iiinnn 发表于 2021-11-5 22:19
厉害啊,分析的很透彻,但是也只敢看看,不敢下载实践
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-27 23:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表