一款勒索病毒的詳細分析
原文出自看雪論壇:[原創]一款勒索病毒的詳細分析-『軟體逆向』-看雪安全論壇
0×01 程式資訊
大小:2,132,992 位元組
MD5:671ec2f2b246113f65a0afd1c53c5c3b
殼:UPX 0.89.6 - 1.02 / 1.05 - 2.90
編寫語言:易語言
0×02 程式行為
開機自啟
修改瀏覽器資訊
禁用UAC
程式檢測
加密檔案
傳送資料到指定郵箱
0×03 執行截圖
0×04 脫殼去花指令
採用UPX加殼,通過ESP定律脫殼
脫殼後: 從入口特徵判斷為VC++6.0編譯[易語言]
程式插入了大量花指令
用OD外掛E Junk Code 輕鬆去除
去除花指令後
0×05 分析思路
從病毒的行為判斷所呼叫的API,在所呼叫的API下斷點,然後通過棧回溯找到關鍵函式。
程式所用到的API:
病毒執行後會隱藏自身檔案(SetFileAttributes)
修改登錄檔資訊(RegOpenKey、RegSetValue)
遍歷檔案(FindFirstFile)等等
SetFileAttributes設定斷點,然後檢視呼叫堆疊,回溯到關鍵函式
0×06 關鍵函式分析
函式功能:設定程式開機啟動、隱藏程式檔案、修改瀏覽器資訊、禁用UAC、生成解密KEY(30位隨機值)、建立加密執行緒.
加密所有檔案後,會在Temp目錄下生成Victim.tmp檔案,程式執行後會判斷Temp目錄下是否有Victim.tmp檔案,沒有則建立加密執行緒,如果已經存在Victim.tmp檔案,則直接載入勒索視窗。
建立執行緒後,程式執行訊息迴圈,然後系統會呼叫執行緒回撥函式
0×07 執行緒回撥函式分析
函式功能:遍歷全盤檔案,加密指定字尾檔案
*.zip.*.rar.*.7z.*.txt.*.doc.*.pptx.*.wps.*.jpg.*.jpeg.*.gif.*.bmp.*.png.*.swf.*.wav.*.mp3.*.mp4.*.avi.*.rmvb.*.xis.*.htm.*.html.*.e.*.ec.*.bak.*.docx.*.ico.*.rtf.*.xlsx.*.c.*.h.*.cpp.*.php.*.pps.*.pdf.*.fla.*.asm.*.dot.
加密後會生成對應字尾的檔案
*.zip ----- *.XiaoBa1
*.rar ----- *.XiaoBa2
……
執行緒回撥函式0x40F82B設定斷點
進入執行緒主函式0x4065D8
加密完成後
0×08 勒索視窗事件分析
函式功能:把使用者的IP、CPU資訊、螢幕截圖、系統資訊、解密資訊傳送到指定郵箱
InternetOpen設定斷點,通過回溯找到關鍵函式
傳送的資料格式
0×09 程式檢測函式追蹤
函式功能:程式載入時,會建立一個定時器,每隔一秒呼叫一次程式檢測的函式,通過CreateToolHelp32Snapshot建立程式快照的方式遍歷程式,檢測到指定程式後,會嘗試結束程式。
SetTimer設定斷點
Timerproc為NULL,說明呼叫的是系統預設的回撥函式OnTimer(),DispatchMessage設定條件斷點[[esp+4]+4](esp+4 是MSG物件的地址 [esp+4]+4是訊息型別)
WM_TIMER == 0x113
斷下時的堆疊如下:
然後在程式碼段設定訪問中斷
F9執行,直接到視窗回撥函式
進入視窗回撥繼續分析,注意堆疊資料,
跟進0x4AEDED
跟進0x4AEE31
繼續跟蹤分析onTimer,最終呼叫程式檢測函式
函式檢測的程式列表:
taskmgr.exe
OllyDbg.exe
吾愛破解[LCG].exe
MSASCuiL.exe
RAVmon.exe
RAVtimer.exe
rav.exe
360Tray.exe
360Safe.exe
ZhuDongFangYu.exe
360sd.exe
KSafeSvc.exe
KSafeTray.exe
kxetray.exe
kxescore.exe
QQPCTray.exe
QQPCRTP.exe
BaiduSdSvc.exe
BaiduSdTray.exe
BaiduAnTray.exe
BaiduAnSvc.exe
avp.exe
egui.exe
ekrn.exe
MsMpEng.exe
msseces.exe
0x0A加密函式分析:
用CPU序列號生成一個大小為0xFF的Key表
通過計算得到一個Key表索引,取Key值異或資料
IDA分析生成Key表函式
IDA分析加密資料函式
因為加密只採用了異或運算,所以加密演算法也是解密演算法。
檔案還原始碼
#include "stdafx.h"
#include
BYTE *__cdecl unknown_libname_467(BYTE *a1, BYTE *a2)
{
BYTE *result; // eax@1
char v3; // cl@1
result = a1;
v3 = *a1;
*a1 = *a2;
*a2 = v3;
return result;
}
int __cdecl MakeKeyTable(int a1, signed int a2, int a3)
{
signed int v3; // eax@1
int v4; // ebp@1
int result; // eax@3
int v6; // esi@4
BYTE *v7; // ebx@4
bool v8; // zf@5
signed int v9; // [sp+4h] [bp-8h]@4
unsigned __int8 v10; // [sp+18h] [bp+Ch]@4
v3 = 0;
v4 = a3;
do
{
*(BYTE *)(v3 + a3) = v3;
++v3;
} while (v3 < 256);
result = a2;
*(BYTE *)(a3 + 256) = 0;
*(BYTE *)(a3 + 257) = 0;
if (a2 > 0)
{
v10 = 0;
v6 = 0;
v7 = (BYTE *)v4;
v9 = 256;
do
{
v6 = (unsigned __int8)(*(BYTE *)(v10 + a1) + v6 + *v7);
unknown_libname_467(v7++, (BYTE *)(v6 + v4));
result = v9 - 1;
v8 = v9-- == 1;
v10 = (v10 + 1) % a2;
} while (!v8);
}
return result;
}
unsigned __int8 __cdecl Decrypt(int a1, int a2, int a3)
{
int v3; // esi@1
int v4; // ebx@1
unsigned __int8 result; // al@1
unsigned __int8 v6; // cl@1
unsigned __int8 v7; // di@2
unsigned __int8 v8; // bp@2
BYTE *v9; // ST20_4@3
BYTE *v10; // ST1C_4@3
unsigned __int8 v11; // [sp+8h] [bp-Ch]@3
unsigned __int8 v12; // [sp+20h] [bp+Ch]@1
unsigned __int8 v13; // [sp+20h] [bp+Ch]@3
v3 = a3;
v4 = 0;
result = *(BYTE *)(a3 + 256);
v6 = *(BYTE *)(a3 + 257);
v12 = *(BYTE *)(a3 + 256);
if (a2 <= 0)
{
*(BYTE *)(v3 + 256) = result;
*(BYTE *)(v3 + 257) = v6;
}
else
{
v7 = v12;
v8 = v6;
do
{
v13 = v7 + 1;
v7 = v13;
v9 = (BYTE *)(v13 + v3);
v11 = v8 + *v9;
v8 = v11;
v10 = (BYTE *)(v3 + v11);
unknown_libname_467(v9, v10);
*(BYTE *)(v4++ + a1) ^= *(BYTE *)(((*v9 + *v10) & 0xFF) + v3);
} while (v4 < a2);
result = v11;
*(BYTE *)(v3 + 256) = v13;
*(BYTE *)(v3 + 257) = v11;
}
return result;
}
int main()
{
//加密檔案
HANDLE hEntyrptFile = CreateFile(L"D:\\1.XiaoBa1", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
DWORD dwFileSize = GetFileSize(hEntyrptFile, NULL);
PBYTE pFileBuffer = new BYTE[dwFileSize];
ZeroMemory(pFileBuffer,dwFileSize);
DWORD dwRead = 0;
ReadFile(hEntyrptFile, pFileBuffer, dwFileSize, &dwRead, NULL);
//CPU序列號
char cpuid[] = "0FABFBFF000306A9";
//序列號長度
int length = 0x10;
BYTE KeyTable[257] = { 0 };
MakeKeyTable((int)cpuid, length, (int)KeyTable);
Decrypt((int)pFileBuffer, dwFileSize, (int)KeyTable);
HANDLE hDecryptFile = CreateFile(L"D:\\1.zip",GENERIC_WRITE|GENERIC_READ,0,NULL,CREATE_ALWAYS,FILE_ATTRIBUTE_NORMAL,NULL);
WriteFile(hDecryptFile, pFileBuffer, dwFileSize, &dwRead, NULL);
CloseHandle(hEntyrptFile);
CloseHandle(hDecryptFile);
delete pFileBuffer;
system("pause");
return 0;
}
本文由看雪論壇 Vamcy 原創,轉載請註明來自看雪社群
相關文章
- MSN騙子病毒詳細技術分析(轉)
- 伺服器中了勒索病毒,升級後的Malox勒索病毒特徵,勒索病毒解密資料恢復伺服器特徵解密資料恢復
- 電腦感染病毒變成eking勒索病毒檔案或Devos勒索病毒檔案、montana勒索病毒檔案該如何處理?dev
- Medusalocker勒索病毒,小心勒索加密無得解加密
- win10怎樣防止勒索病毒 win10防範勒索病毒的步驟Win10
- win10怎麼防禦勒索病毒_win10預防勒索病毒的方法Win10
- faust勒索病毒攻擊加密Windows系統的方式,勒索病毒解密資料恢復加密Windows解密資料恢復
- 蘋果手機會中勒索病毒嗎 安卓手機會中勒索病毒嗎?蘋果安卓
- JWT 詳細分析JWT
- 計算機伺服器中了locked勒索病毒的正確處理流程,locked勒索病毒解密計算機伺服器解密
- 計算機中了mallox勒索病毒怎麼辦,勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機伺服器中了halo勒索病毒怎麼辦,halo勒索病毒解密計算機伺服器解密
- 恆訊科技分析:香港伺服器如何防禦勒索病毒的攻擊?伺服器
- “勒索病毒”肆虐引發的思考
- 7月勒索病毒報告:Globelmposter勒索病毒活動增強|美創安全實驗室
- 計算機中了faust勒索病毒怎麼辦,faust勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機中了locked勒索病毒怎麼辦,locked勒索病毒解密,資料恢復計算機解密資料恢復
- 計算機中了halo勒索病毒怎麼清除,halo勒索病毒解密資料恢復計算機解密資料恢復
- 計算機伺服器中了mkp勒索病毒如何解密,mkp勒索病毒解密流程計算機伺服器解密
- 計算機伺服器中了mallox勒索病毒解密方案計劃,勒索病毒解密措施計算機伺服器解密
- 計算機伺服器中了locked勒索病毒怎麼辦,locked勒索病毒解密流程計算機伺服器解密
- 計算機伺服器中了DevicData勒索病毒如何解密,DevicData勒索病毒解密流程計算機伺服器dev解密
- appium的log詳細分析APP
- Oracle RushQL勒索病毒恢復方法Oracle
- Oracle_勒索病毒解決方案Oracle
- JWT 超詳細分析JWT
- PE頭詳細分析
- Https詳細分析HTTP
- 《新型冠狀病毒剖析》專案詳細介紹
- Windows系統檔案被faust勒索病毒加密勒索病毒解密恢復,電腦中病毒了怎麼修復?Windows加密解密
- 計算機伺服器中了mkp勒索病毒怎麼辦,mkp勒索病毒解密恢復計算機伺服器解密
- 企業資料庫中了360勒索病毒怎麼辦,勒索病毒解密,資料恢復資料庫解密資料恢復
- 企業金蝶KIS軟體伺服器中了locked勒索病毒怎麼辦,勒索病毒解密伺服器解密
- 計算機伺服器中了mallad勒索病毒怎麼辦,勒索病毒解密恢復計算機伺服器解密
- 伺服器中了elbie勒索病毒解決辦法,elbie勒索病毒解密資料恢復伺服器解密資料恢復
- 伺服器中了locked勒索病毒怎麼處理,locked勒索病毒解密,資料恢復伺服器解密資料恢復
- 企業計算機伺服器中了mkp勒索病毒如何處理,mkp勒索病毒解密計算機伺服器解密
- 計算機伺服器中了mallox勒索病毒如何處理,mallox勒索病毒應對措施計算機伺服器