吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7948|回复: 55
上一主题 下一主题
收起左侧

[PC样本分析] 病毒分析小白尝鲜-GANDCRAB勒索家族分析

  [复制链接]
跳转到指定楼层
楼主
Wseventeen 发表于 2023-6-9 16:21 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Wseventeen 于 2023-6-10 09:52 编辑

结合最近学习的一些东西,找了一个老家族写的分析笔记,写的比较简单,大佬勿喷
样本背景
GandCrab于2018年年初问世,主要利用RDP爆破、钓鱼邮件、捆绑软件、僵尸网络、CVE-2017-8570漏洞利用等方式进行攻击,此家族病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后为.GDCB、.GRAB、.KRAB或5-10位随机字母,将感染主机桌面背景替换为勒索信息图片。GandCrab5.1之前版本可尝试使用解密工具解密,最新GandCrab5.2无法解密。老勒索家族了,所以我在公开的威胁情报上找了一个最新被上传的样本做简要分析。

加壳情况
文件未加壳

互斥体
互斥体名称:Global\pc_group=WORKGROUP&ransom id=79e2d4c8a42336Gb



关进程
遍历并关闭所列举的进程,防止文件在加密过程中被占用


获取系统信息

通过注册表检查了当前用户组,所在地区,操作系统,系统版本号,CPU信息,以及磁盘类型和磁盘容量





恶意外联

通过GET和POST请求外联恶意域名


发起一个HTTP请求操作,首先通过HttpAddRequestHeadersW函数添加HTTP请求头参数,然后通过HttpSendReqst函数发送HTTP请求,并且获取HTTP响应。如果HttpSendRequestW函数返回真,则继续从网络资源获取响应数据,函数InternetReadFile通过指定HTTP连接句柄v15来获取http数据,读取到的数据存放在v16所指的缓存区,读取的字节数为a7 - 1,同时返回完整的服务器名称到lpszServerName中。其中,函数返回的结果被用于判断HTTP请求是否成功,如果成功,就继续从网络资源获取数据,如果失败,则通过函数GetLastError获取错误信息。



当前域名已无法访问

设置注册表信息

加密部分
使用CryptGenKey生成RSA的公私钥对,之后用CryptExportKey导出



使用FindFirstFileW和FindNextFileW接口遍历文件目录下的所有文件进行加密,并释放出勒索信




加密过程中注入到系统advapi32.dll

删除卷影

删除卷影拷贝,防止用户恢复原文件

图片.png (369.34 KB, 下载次数: 12)

图片.png

图片.png (384.31 KB, 下载次数: 7)

图片.png

免费评分

参与人数 10吾爱币 +6 热心值 +9 收起 理由
13613105079 + 1 + 1 用心讨论,共获提升!
snowhee + 1 谢谢@Thanks!
shi2iyang + 1 + 1 谢谢@Thanks!
root66 + 1 + 1 我很赞同!
luckychao + 1 用心讨论,共获提升!
heimaojingzhang + 1 + 1 用心讨论,共获提升!
svbai + 1 + 1 用心讨论,共获提升!
zhouTz + 1 我很赞同!
1MajorTom1 + 1 热心回复!
LAOBILAXI233 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
pjdp387029 发表于 2023-6-20 09:22
公司远程电脑中了勒索病毒,我直接格式化了。。。不敢挂远程了
3#
coller 发表于 2023-6-12 17:09
4#
lws0318 发表于 2023-6-13 09:55
5#
Hmily 发表于 2023-6-14 15:05
底部有2张图是不是贴丢了?
6#
dyc66666 发表于 2023-6-14 20:55
优秀,非常牛
7#
hai1993 发表于 2023-6-15 00:22

优秀,非常牛
8#
chmod755 发表于 2023-6-15 09:34
GetDriveTypeW 这个是判断磁盘类型的,你看他下面有个 大于等于2 不等于5的那个判断,意思是先判断磁盘类型,如果是正常挂载的 非CD盘 再去进入到加密流程
9#
 楼主| Wseventeen 发表于 2023-6-15 10:15 |楼主
chmod755 发表于 2023-6-15 09:34
GetDriveTypeW 这个是判断磁盘类型的,你看他下面有个 大于等于2 不等于5的那个判断,意思是先判断磁盘类型 ...

感谢大佬指正
10#
hxd97244 发表于 2023-6-20 23:46
重要文件移动硬盘备份,要是加密了就直接低格了重做系统,一般的这类勒索的问题都能解决把。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 05:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表