吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13273|回复: 44
收起左侧

[PC样本分析] 【原创】一款勒索病毒的详细分析

  [复制链接]
一个悲桑的问题 发表于 2017-12-5 15:30
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 一个悲桑的问题 于 2017-12-5 15:38 编辑

感谢15PB提供的教育环境,感谢吾爱破解提供的平台!
(病毒副本解压密码:52pojie.com)
(申明:所提供的所有文件以及资料仅供研究、学习。严禁传播扩散、如有意外、概不负责!!!)
此款勒索病毒 会加密你的所有文件,并生成勒索信息
切记、新手朋友们在虚拟机里边玩!免得造成不可挽回的后果!
不废话脱壳 开干
(请各位大牛指导!!!   多谢!)

目录11样本概况
21.1样本信息2
1.2测试环境及工具2
1.3分析目标2
2.具体行为分析
22.1主要行为
22.2.1 恶意程序对用户造成的危害2
2.2恶意代码分析3
2.2.1 程序总体逻辑3
2.2.2 基本行为分析3
2.2.2 网络传播分析 (略、太懒了 没有分析此步骤、不过确实网络传播 各位小伙伴不要忘记关闭网络
2.2.3 文件加密分析
1.1样本信息
MD5: DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1: 863F5956863D793298D92610377B705F85FA42B5
CRC32: 1386DD7A
1.2测试环境
平台:Windows 7 32位
工具:IDA Pro,OllyDbg,PEID,LordPE
2.1行为概述
是一个勒索软件样本,样本运行后的行为
将系统内的文本、文档等文件加密,
每个文件夹都会生成文字版和图片版的勒索信息
程序会自我删除
程序会添加启动项,伪装成cmd,在cmd后面添加启动参数
2.1.1
对用户的电脑里边的所有资料进行加密
2.2 恶意代码行为分析
根据病毒的特性来分析病毒:   将病毒拖入到火绒剑中运行,并监视其动作、执行轨迹   病毒运行期间 无法打开任务管理器、cmd命令窗口等。当然别想着用OD来调试了 病毒给干掉你的OD了 1.png
2.png
3.png
4.png
5.png
鼠标右键->指定->PE文件
6.png
由上图可知:是将0x3B0000中的内容拷贝至0x400000中  由此可以得知0x3B0000中的内容可能是我们需要的PE文件,至于是否已经被解密--未知。
将内存中的0x3B0000起“鼠标右键->指定->PE文件”鼠标下移找到PE文件的相关信息因为写入是发生在跨进程写入的 所以是内存映射方式的
因此在下图中可以根据地址找到文件的大小0x3B000
7.png
在程序中进行脱壳第一次:
8.png
DUMP下来的文件拖入LordPE
9.png
将修复完毕的文件拖入OD中进行查看OK!我们运气非常好 这就是我们要的!
所以就不需要继续跟踪病毒继续去脱壳了!如果不是,那么就只能继续往下走,继续脱壳、一个个查看、直到找到你要的。
  /////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
使用IDA打开病毒样本从头开始分析 IDA 与OD 实时分析 使用IDA分析程序源码如下图所述
10.png
11.png
定义完局部变量后,程序就对进程的一些判断操作什么的 无非就是判断有没有被调试、资源管理器有没有打开、有没有杀毒软件什么的吧
略过这些非主体程序接下来就是主体函数了 我们来结合OD分析
12.png
此时执行完函数SHGetfolderPathW函数时候获取到一个特殊的路径 如下图黄色所述:
13.png
两个GetProcAddress函数之后的函数sub_402170 不清楚是干什么的 我们跟进去看看
////////////////////////////////////////////////////////////////////////////
14.png
执行完函数sub_412B00后 我们可以发现 其传入的两个参数中
参数2中的值有一些变化IDA进入函数 观看 发现 其是对一个字符的抑或、位移运算什么的
由此我们大胆猜测 该函数是对字符串的加解密运算
而且还发生了字符串拷贝的作用2个加密字符串参数进去、再传一个地址
15.png
16.png
17.png
运行结果如图内存示意图,得知该函数是解密字符串的函数由此图与上图比较可知该函数是用于去掉后缀名后边的“;”的
18.png
接下来 看图说话:释放完空间后就再次申请空间、解密字符串   共计5次
19.png
20.png
那么此层函数就执行完了 我们回到上一层
///////////////////////////////////////////////////////////////////////////////
那么我们在进入到主函数的下一个函数进入里边我们用IDA观察后
如下图所示很明显 这是一个关于用户、进程等的权限操作无非是获取权限以方便执行代码
  OK 此函数我们可以略过了
21.png
我们继续往下执行发现程序运行到与0x3000的比较处
要执行一个函数 那么IDA同跟踪之进入该函数观察
22.png
///////////////////////////////////////////////////////////////////////////////
23.png
24.png
25.png
也就是说 该函数是要获取环境变量名为“windir”的内容、并存到0x12BB90中其结果为“C:\Windows”
26.png
拼接成一个特殊的字符串如上所述 是一个路径 一个特殊的路径
27.png
Access:对文件的操作权限
ShareMode:指示对象的后续打开操作只有在请求读访问时才成功。
Mode:打开文件。如果文件不存在,函数就会失败。
28.png
返回值为 -1  =  INVALID_HANDLE_VALUE
所以打开文件失败
而接下来的GetLastError所得到的结果是 2
根据IDA中 得到 程序进入一个新的if语句中 接下来是拼接字符串传入一些我们需要用到的字符串得到如下图堆栈中的字符串
29.png
30.png
31.png
32.png
33.png
由上边的IDA分析图得知 如果启动则退出while循环 并删除当前进程然后在返回1 此函数已经分析完毕  退出该函数
///////////////////////////////////////////////////////////////////////////
返回到该函数
34.png
retn 该主线程就执行完毕了
但是IDA还有东西没有执行完毕所以我们继续
35.png
OD中找到执行到该位置的代码段
36.png
下图就是我们要跳过来执行的东东
37.png
OD中如下图所述
38.png
点击函数CALL 0x00410860进入使用IDA查看
39.png
40.png

如上图将程序拖入010 查看文件偏移3C是何处!
41.png
由此得知 其位置是NT头再找到ReadFile的内存地址 查看内存数据发现与[EBP-4]是同样的位置
42.png

然后是对NT头进行操作 偏移58(下图计算器内是:F8+58)
43.png

偏移是150  所以找到偏移为150的 如上所述执行完该函数回到上一层进入此函数观察
44.png

IDA得知 如下:
45.png
在创建了两个新的线程之时  在线程回调函数中下好断点 设置一下OD
46.png

创建完两个新线程后 继续走
忽然 函数跳转到其中之一个线程中去了
上边有个函数Wow64DIsableWow64FsFolder是禁用调用线程的文件系统重定向然后接下来就是调用执行堆栈中构造的语句vssadmin.exe是:卷影复制服务     删除全部 47.png
但是在执行此线程的时候又跳到了另一个线程循环比较当前所有线程 并干掉特殊线程
48.png
后边有个对文件加密的函数
49.png
该函数中对文件进行了加密
  <-完->


病毒样本.zip (234.66 KB, 下载次数: 138)


免费评分

参与人数 19威望 +1 吾爱币 +27 热心值 +17 收起 理由
liphily + 1 我很赞同!
我只做我自己 + 1 + 1 很有帮助
22222 + 1 + 1
JonSn0w + 1 + 1 谢谢@Thanks!
www.52pojie.cn + 2 + 1 加满
dioderen + 1 + 1 谢谢@Thanks!
IceWind + 1 + 1 用心讨论,共获提升!
sunnylds7 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Skytrax + 1 + 1 谢谢@Thanks!
Three_fish + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
winkinga + 1 用心讨论,共获提升!
Kasugano + 1 + 1 谢谢@Thanks!
lies2014 + 1 + 1 用心讨论,共获提升!
qinghe1998 + 1 + 1 6666666666
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
3460875 + 1 + 1 用心讨论,共获提升!
Valices + 1 楼主分析的很详细嘛,学习了~
杨雪飞 + 1 + 1 中过一次招,想知道这个中招了之后有什么办法解决没
ablajan + 1 下载运行看看

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2017-12-5 17:10
前面分析很详细,但加密部分没有细说?另外写内存那我一般是直接看看原始文件在内存中还是解密出来的,最好在pe还没有初始化的时候就先dump下来,这样完整的也不用修任何东西。
 楼主| 一个悲桑的问题 发表于 2017-12-5 20:02
shaokui123 发表于 2017-12-5 19:31
是国外的还是国产的
中毒界面有图片吗
中毒后能恢复吗

国内还是国外的不知道
中毒界面有图片 没放上来
因为是虚拟机破解所以没有尝试过恢复
weizhiyao 发表于 2017-12-5 15:48
 楼主| 一个悲桑的问题 发表于 2017-12-5 16:23
尝试个杀毒软件商提供的破解恢复软件、能否恢复!
最好的方法就是养成良好的上网习惯和备份文件的习惯!切最好备份文件存在2份以及以上{:1_903:}
飞翔的大橙子 发表于 2017-12-5 16:48
支持一下师哥
Valices 发表于 2017-12-5 16:53
楼主分析的很详细,我自己也是一个做分析的,突然感觉差距好大,还得好好学习啊~
Eternity-Myth 发表于 2017-12-5 16:58 来自手机
我正在学习计算机系统与网络安全,收藏学习一个
yswl520 发表于 2017-12-5 17:09 来自手机
这么深奥的东西,琢磨不透呀,扎心。
zhengzhu89 发表于 2017-12-5 17:36 来自手机
厉害了我的哥
chased 发表于 2017-12-5 17:40
分析的真好,15pb牛人真多
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 05:40

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表