Ransomware勒索病毒分析报告

烂漫一生 提交于 2019-12-04 08:13:25


Ransomware勒索病毒分析报告

样本名

Ransomware.exe

班级

34

作者

梅源

时间

2019年10月25日

平台

VM Windows 7 32

15PB信息安全研究院(协议分析报告)

1样本概况

1.1 应用程序信息

应用程序名称:Radamant勒索病毒

大小: 85824 bytes

修改时间: 2019-10-26 12:06:22

MD5: 9b7b16867eeab851d551bfa014166e1a

SHA1: be080d99a299a8708461efce76b524b82142fb28

简单功能介绍:安装自身到C:\User\15pb-win7\AppData\Roaming目录下并重命名为DirectX.exe并将文件属性设置为隐藏后执行,删除自身 ,修改注册表自启动,checkip.dyndns.org发送get请求,接收来自服务器的指令,并执行(病毒更新,发送宿主机信息,加密电脑文件,解密电脑文件)

1.2 分析环境及工具

系统环境:VM Windows 7 32位

工具: PC-Hunter,OD,IDAPro,PEID,Hash,火绒剑

1.3 分析目标

能进行更新病毒,远程操控宿主机,并加密文件

2.具体分析过程

2.1 提取样本

• 使用ARK(PC-Hunter)工具查看可以进程

clip_image004

clip_image006

• 使用ARK(PC-Hunter)工具查看启动项

clip_image008

• 使用ARK工具查看服务

未发现可疑项

• 使用ARK工具查看驱动

未发现可疑项

• 使用ARK工具查看内核

clip_image010

• 使用ARK工具查看网络连接,其他杂项

发现网络连接有异常行为

clip_image012

• 使用抓包工具(WSExplorer)查看可以流量

也无流量操作

提取样本:

将路径下文件提取到本地,并修改扩展名未vir

C:\Users\15pb-win7\AppData\Roaming\DirevtX.exe

C:\Users\15pb-win7\AppData\Roaming\DirevtX.vir

2.1.1 行为分析

1. 文件操作

可以看到对文件进行了很多操作首先由少到多进行观察,具体行为

clip_image014

查看删除,创建,重命名文件的操作

clip_image016

发现创建文件,观察文件部分文件与样本大小一致

clip_image018

1. 注册表监控

查看操作注册表键\表项值

clip_image020

1. 进程监控

创建进程

clip_image022

1. 网络监控

无有价值内容

2.2 详细分析

1. PEID查壳,无壳

clip_image024

程序首先检查是否以存在感染文件

clip_image026

若不存在感染文件,程序就会复制自身到C:\Users\15pb-win7\Roaming目录下,并修改文件名为DirectX.exe,修改文件属性为隐藏,并删除自身

clip_image028

检查注册表启动项中是否存在Directx.exe

clip_image030

创建互斥体,打开cmd并以管理员方式运行脚本

clip_image032

随后再次检查注册表启动项,判断DirectX.exe是否已存在,若不存在就添加为注册表启动项

clip_image034

创建互斥体检查是否以存在,获取hash值,获取MD5值,在解密域名

clip_image036

循环三次连接服务器,如果连接失败,则再次尝试,如果成功则,接收数据

clip_image038

clip_image040

判断是否存在注册表项,若无,则向服务器发送post请求给服务器,将最终操纵病毒的服务器的域名等信息写入注册表项

clip_image042

clip_image044

clip_image046

创建线程,执行病毒操作,向服务器发送post请求,获取命令,对计算机,执行文件加密,锁屏,以及弹窗提示,并在此函数中进行判断是否解密,并对文件进行解密。若服务器请求发送失败,就在桌面创建url文件名为YOUR_FILES.url诱惑用户点击

clip_image048

clip_image050

clip_image052

若开始请求服务器更新注册表键值时请求失败,则同样创建桌面文件YOUR_FILES_url尝试欺骗用户点击,

clip_image054

1. 总结

Radamant勒索病毒主要分成了两个部分

第一部分:自我复制

拷贝自己到C:\Users\15pb-win7\AppData\Roaming\DirevtX.exe,将文件属性设置为隐藏并删除自身源文件

第二部分:病毒感染

添加注册表启动项,向服务器发送请求,获取指令操作系统修改注册表项,加密系统源文件,若自己连接服务器失败则创建YOUR_FILE.url诱惑用户点击尝试连接服务器,以达到勒索用户的目的

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!