吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7755|回复: 37
收起左侧

[PC样本分析] 本地勒索病毒简单分析

  [复制链接]
ADD1ADD2 发表于 2022-5-16 18:36
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ADD1ADD2 于 2022-5-16 18:44 编辑

Local勒索病毒分析报告

目录
病毒信息1
病毒概况1
病毒危害1
手工清除方法1
漏洞补丁信息2
应对措施及建议2
文件行为2
进程行为3
注册表行为3
网络行为5
详细分析报告6
样本溯源分析15

病毒信息:
病毒名称:V1Fast.exe。
病毒家族:。
病毒类型:本地勒索病毒。
MD5:                C3CCDE9C3FAB53D5C749B2186E997BDC。
SHA1:        B494A696F4EDBBD3831163DFD0F1B5EFC134D068。
文件大小:PE EXE。
文件类型:57,344 字节。
传播途径:。
专杀信息:暂无
影响系统:软件无法使用。
样本来源:互联网
发现时间:。
入库时间:。
C2服务器:。
病毒概况
该样本来源于互联网,但是发布者并未对齐公开自身的分析,经过对其运行分析,该病毒属于勒索病毒一种,他会对系统文件(除了程序本身的重要程序文件)及其他程序进行删除备份加密,使所有软件基本上无法运行。
病毒危害
        该病毒影响软件无法正常运行,文件及文件夹均被加密。
手工清除方法
暂无
漏洞补丁信息
暂无
应对措施及建议
1).建议用户保持良好的上网习惯,不要随意打开来路不明的邮件及文档。
2).及时更新系统及软件,保持系统和软件保持最新版本。
3).备份好电脑的重要资料和文档,定期检查内部的备份机制是否正常运行。
4).不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
5).安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6).不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。

文件行为
1). 打开所以有文件。
2). 创建文件,
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exel......
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
3). 截断文件,
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe、
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
4). 写入文件,C:\WINDOWS\system32\wupdmgr.dll。
5). 设置文件属性        
C:\Users\15PB\AppData\Local\V1Fast.exe
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
6). 修改文件        
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe、
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
7). 遍历目录。
8). 重命名文件。
......
进程行为
1).打开进程 C:\Windows\System32\cmd.exe。
2).跨进程写入 向C:\Windows\System32\mshta.exe应用程序主机写入。
3).创建进程 c:\windows\system32\sysprep\sysprep.exe......。
4).枚举进程 ......。
5).加载模块  C:\Windows\System32\vmhgfs.dlll......。
6).打开设备 \Device\hgfsInteranl......

注册表行为
1).创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\V1Fast
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\V1Fast
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation。
2).删除注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName。
3).创建注册表键:
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2c\AAF68885
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\CA
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\CA
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\CA
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\Disallowed
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\Disallowed
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\SmartCardRoot
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\trust
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\trust
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\trust
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2c\AAF68885
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache
网络行为
暂无

详细分析报告
1). 首先查看他的PE及壳信息这是一个VC8程序编写的未加壳程序:
图片1.png
2). OD与IDA 分析发现只有一个主函数,主函数第一步调用申请的堆空间,并对堆空间进行初始化:
图片2.png

3)创建V1Fast.exe进程/获取注册表键:
图片3.png
图片4.png



4)遍历盘符是否是C盘:
图片5.png

5)启动程序C:\Users\15PB\Desktop\Local.7z\V1Fast.exe,主要获取了加载任意dll的注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs,最后程序在自毁:
图片6.png

6)勒索病毒常用的命令用vssadmin运行删除所有卷影副本命令:
图片7.png

7)创建线程1,里面涉及到拷贝和复制文件操作,线性参数中存在一个创建进程操作:
图片8.png


图片9.png


8)拷贝文件到c\user\****\appdata\local\V1Fast.exe,修改文件属性,释放PE文件到自身,并且将这个复制文件设置启动项的四种方式,设置文件属性为0x00000000
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\V1Fast.exe,
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe:               
图片10.png


图片11.png

9)重复步骤7:创建线程,线程中包含一个进程;

10)然后创建了三个线程waitforsingleobject等待,这三个线程对注册表,及文件进行了大量的操作,访问了注册表键的电脑用户,获取了用户名,获取系统组件,改变进程权限提权,并且遍历进程,遍历了目录文件,释放了隐藏文件,对文件夹进行重命名,并对文件进行加密:
图片12.png
图片13.png




11)下面的函数中发现一个网址,但是并未发现网络操作:
图片14.png
12)在存在的硬盘根目录下创建了提示语的勒索信息,在桌面上创建了info.hta弹窗程序,利用ShellExecuteExW弹出四个提示勒索窗口:
图片15.png
图片16.png
图片17.png

13)在桌面创建info.txt勒索信息提示语:
图片18.png
图片19.png
14)将提示语txt文件创建到C盘根目录下:
图片20.png
15)将提示窗口的程序info.hta创建在D盘的根目录下:
图片21.png
16)加载恶意模块并将,14/15操作盘符地址更换,使每一个硬盘下都存在提示语和提示弹窗:
图片22.png
17)接下来就是创建的三个线程对注册表,文件进行的加密。
样本溯源分析
通过对网址的分析:
图片23.png
结论:这种病毒对注册表相当偏爱,对文件的操作加密方式应该是一种非对称加密方式,留待以后细致分析。
Local.7z.zip (2.34 MB, 下载次数: 165)

免费评分

参与人数 15威望 +1 吾爱币 +35 热心值 +11 收起 理由
pizzabamboo + 1 + 1 学习了
Mofecx + 1 用心讨论,共获提升!
potato111 + 1 热心回复!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
DQQQQQ + 1 + 1 用心讨论,共获提升!
sushaka + 1 + 1 谢谢@Thanks!
Nattevak + 3 + 1 用心讨论,共获提升!
努力加载中 + 1 + 1 热心回复!
loo1221ool + 1 + 1 谢谢@Thanks!
owouwu + 1 用心讨论,共获提升!
lyk1115 + 1 我很赞同!
SAPLU + 1 + 1 我很赞同!
风鸣儿 + 1 + 1 我很赞同!
caiji1 + 1 + 1 大佬强!!!
XXFFKK + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

lhlking 发表于 2022-5-19 17:09
勒索病毒危害性很大,有的纯粹就是骗钱,给充了B也不给解锁。

重要的服务器及电脑一定要装相应的防御措施。
姚小宝 发表于 2022-5-16 23:19
cfsxy 发表于 2022-5-17 05:12
Eaglecad 发表于 2022-5-17 06:57
很厉害,感谢分享
bigqyng 发表于 2022-5-17 08:30
大佬,感谢分享
apocalypsechen 发表于 2022-5-17 08:50
学习了,感谢分享!
qz360 发表于 2022-5-17 09:11
感谢分享!
咔c君 发表于 2022-5-17 09:21
不错厉害了
xiaodaner 发表于 2022-5-17 09:47
谢谢分享
alunmaike 发表于 2022-5-17 11:28
挺好,谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表