样本概况
样本信息
MD5值:bba660ab32606478a78ec7dff64ed81c
SHA1值:826ccd5c2535360915fe9f81ac8b3663b21be285
CRC32:3d34e7bc
恶意软件行为:
此恶意软件通过给特定文件类型进行Rsa加密的方式阻止用户访问这些文件,并显示图片与文本类型的勒索信息要求受害者支付比特币以购买解锁密钥。恶意程序还修改了注册表实现了开机自启动与阻止用户特定行为(如打开任务管理器等)。
测试环境及工具
测试环境:Windows 7 32bit
分析工具:OD,IDAPRO,火绒剑
分析目标
分析病毒行为与程序具体执行流程
具体行为分析
主要行为
在C:/user/CurrentUser/My Documents/路径下创建了一个副本并隐藏:
2. 启动副本后删除自身;
3. 副本在启动后创建注册表键以实现开机自启动:
创建线程并执行以下操作:
通过网络向服务器发送信息:
遍历所有路径下的文件并使用公开键对所有目标类型文件进行加密:
在所有文件夹下添加勒索信息:
监视系统进程,结束任务管理器,gpedit,regedit,cmd等程序;
显示勒索信息:
恶意代码分析
原始程序在执行后使用CreateProcess打开并挂起一个自己的镜像:
2262D处使用WiriteProcessMemory将一个缓冲区的数据写入到创建的镜像中:
分析此缓冲区可看出其中保存了一个PE文件:
由此可得知程序使用创建傀儡进程的方式执行恶意代码,此缓冲区内的PE文件就是混淆壳内的恶意软件本体。
恶意软件本体的行为:
修改注册表启动项实现开机自启动:
在C:/user/CurrentUser/My Documents/下创建了一个隐藏副本并执行
恶意程序创建了多个线程执行操作
401710处的线程在所有目录下生成了勒索文本和图片,并加密指定类型:
加密函数:
403180处的线程负责进行网络通信:
主要通信网址:
406EB0处的线程遍历进程,若发现任务管理器,注册表管理器,进程查看器,配置查看器或命令行工具时即将其关闭:
4072A0处的线程执行了vssadmin.exe删除了所有卷影副本:
