样本信息
病毒名称:勒索病毒
所属家族:恶意勒索
MD5值:DBD5BEDE15DE51F6E5718B2CA470FC3F
SHA1值:863F5956863D793298D92610377B705F85FA42B5
CRC32:1386DD7A
病毒行为:
将自身拷贝到C:\Users\15pb-win7\Documents\,并将其设置注册表启动项。
设置为cmd命令行方式启动自身
运行过程中,遍历磁盘下所有文件,每个文件夹写入一张图片和记事本。
将所有txt,rar,png进行加密
遍历系统所有进程,发现运行任务管理器,注册表,cmd,组策略等进程会将其结束。
测试环境及工具
测试环境为虚拟机win7专业版
所使用到的工具:火绒剑,Pchunter,od,ida
主要行为
运行后会创建一个与自己一样的进程,是挂起的状态。
重新往这个新进程写入内存,首先写入的是文件头。
对文件头进行解析后,发现其入口位置为4147F0
然后写入代码段,数据段,资源段等
最后写入完毕,调用ResumeThread恢复线程,结束自身,开始执行真正的病毒代码
使用OD无法显示改进程,需要使用X32DBG附加进程,然后尝试将该进程DUMP下来。
恶意代码执行后,会通过调用vssadmin.exe
Delete Shadows /All /Quiet 删除全盘所有卷影副本,使受害系统不能够通过卷影副本进行系统还原
创建线程,遍历所有磁盘文件
向每个文件夹下写入一个txt文本和一个图片文件
过滤了一些目录不处理
如果不是以上的目录,将会调用401cd0进入加密文件操作
函数内部有操作文件敏感操作
加密完毕之后,自动运行记事本,打开一张图片
加密完成后进行了联网操作
恶意程序对用户造成的危害
对用户电脑指定格式txt文档类,rar压缩类,png图片类,等文件进行加密
设置为启动项,每次开机都会检测遍历文件,占用大量系统资源
释放大量的图标,文本文件。占用磁盘空间。
加固后的恶意代码
病毒原文件大量指令混淆
正真恶意代码隐藏在资源数据内,创建同名进程将恶意代码重新写入新进程后才执行正在的恶意代码。
提取病毒的特征,利用杀毒软件查杀
可以通过查找utf8字符串:
通过二进制特征查杀:
手工查杀步骤或是工具查杀步骤或是查杀思路等
删除注册表启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\+++isii
删除目录下C:\Users\15pb-win7\Documents\病毒文件
已被加密的文件暂时没有文件解密的方法