吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7156|回复: 42
收起左侧

[PC样本分析] 一次客户现场找到的phobs勒索病毒分析(简单分析)

  [复制链接]
5yes 发表于 2022-11-17 16:29
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
2022年的某天正常上班,突然一条消息说xxx客户中了勒索病毒,遂前去处置

处理流程:1,将中毒的终端隔离断网。2,寻找勒索病毒源文件以及路径(主要是客户要我们干这件事),3,备份恢复。细节处就不多说了,网上很多了

发现后缀是为elbie的phobs勒索病毒的,并在 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup”和“%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup这两个目录找到了源文件
拿源文件掉到沙箱,释放的文件跟终端的一样

1668673566781.jpg

1,分析病毒功能点
从ws32来看,应该有外连。
ws32.jpg
外连操作:sub_403CBD
1668672919371.jpg
Start -> sub-4029F5 ->sub_40271B
1668672962741.jpg
Sub_403B33检索注册表的值
1668672992008.jpg
分配SID值并检查是否一致

1668673018999.jpg
权限操作,
1668673044324.jpg
进程操作,具体功能是获取进程列表,进程命令行,根据进程列表,选择性关闭进程

进程操作.jpg
还有socket

1668673102716.jpg

最后通过OD看到遍历文件往每个文件夹放入勒索文件
1668673140052.jpg
到这就无了,这是我这个新手第一次分析样本,哪里有错误大佬们还请指点一番

免费评分

参与人数 16威望 +1 吾爱币 +33 热心值 +10 收起 理由
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
superSunshine + 1 + 1 用心讨论,共获提升!
a2604273891 + 1 我很赞同!
maohaizi + 1 我很赞同!
n8sPxD + 1 + 1 我很赞同!
cn211211 + 1 + 1 我很赞同!
linze02 + 1 + 1 我很赞同!
jonw000 + 1 + 1 我很赞同!
trackerstill + 1 热心回复!
91mumu + 1 + 1 用心讨论,共获提升!
newcools521 + 1 热心回复!
shuhaohi + 1 谢谢@Thanks!
wmsj666 + 1 谢谢@Thanks!
poster1 + 1 谢谢@Thanks!
haoera + 1 谢谢@Thanks!
social666 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Maviso 发表于 2022-11-17 18:50
写的不错,太厉害了
QT2008 发表于 2022-11-17 21:04
lyh222220 发表于 2022-11-17 21:38
作为小白选手,我发现两个亮点,第一个如何寻找病毒母体,第二个扔沙箱进行分析
OK9OKR 发表于 2022-11-17 21:45
谢谢楼主
小小小程序员 发表于 2022-11-17 21:56
学到了  技多不压身
ssshoi 发表于 2022-11-17 22:14
哇哦,膜拜
Fgh745799516 发表于 2022-11-17 22:35
学到了  0.0
头像被屏蔽
lvruina 发表于 2022-11-17 22:42
提示: 作者被禁止或删除 内容自动屏蔽
wmsj666 发表于 2022-11-18 00:11
大佬牛掰
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:04

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表