首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >GandCrab V5.0.5勒索病毒样本分析

GandCrab V5.0.5勒索病毒样本分析

作者头像
绿盟科技安全情报
发布2019-10-24 11:46:23
1.1K0
发布2019-10-24 11:46:23
举报

1

概述

本文是针对GandCrab V5.0.5样本的详细分析,此样本的主要功能包括:加密数据文件,修改注册表保存RSA公私钥,在本地创建勒索病毒的说明文件。

SEE MORE →

样本在启动之后,会随机生成公私密钥对,保存在注册表中:

在注册表中的保存结果如下:

检测如下进程,如果进程存在,则终止目标进程。

样本中也包括常见的杀软进程列表,但是在调试机器中没有发现下面进程被终止的情况。

随后创建三个线程,分别实现不同的功能。

线程

1

主要功能:获取主机名和网络共享文件夹,并对共享文件夹中的文件进行加密,详细分析过程如下:

通过获取主机名。

进行网络资源枚举。

获取网络磁盘。

随后将网络磁盘的根路径传入加密函数,开始对网络共享数据进行加密。

线程

2

主要功能:加密本地磁盘内的文件,详细分析过程如下:

获取C盘盘符,之后进行本地文件加密过程。

文件的勒索过程主要在2E7C29函数中,该函数采用递归结构,在函数头中添加了递归和返回条件。

对部分后缀名的文件进行过滤,不进行加密操作。

通过函数2E1261对文件进行加密后,对原文件重命名。

线程

3

主要功能:尝试进行网络通信,详细分析过程如下:

在开启这个线程之前,样本会收集系统信息。

获取到的系统信息如下,包括主机名,组名,系统语言环境,系统版本等。

生成加密文件的后缀名。

随后启动线程。

在这个线程中包含网络通信的行为。

执行的函数首先解密程序中的域名数据。

解密方式是将原始数据和5异或,解密完成后可获得960个域名信息,和5.0.4版本的样本基本一致。

构造URL,尝试获取一个图片文件。

此处获取图片的URL每次会产生变化,但是大部分网络请求都是404错误。

总结

加密问价后缀名白名单

.ani .cab .cpl.cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key.idx .mod .mpa .msc .msp .msstyles .msu.nomedia .ocx .prf .rom.rtp .scr .shs .spl .sys .theme.themepack .exe.bat .cmd .gandcrab .KRAB .CRAB

加密文件路径白名单:

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\

下列系统数据文件不加密:

desktop.ini

autorun.inf

ntuser.dat

iconcache.db

bootsect.bak

boot.ini

ntuser.dat.log

thumbs.db

部分域名信息如下:

www.2mmotorsport.biz

www.haargenau.biz

www.bizziniinfissi.com

www.holzbock.biz

www.pizcam.com

www.swisswellness.com

www.fliptray.biz

www.whitepod.com

www.hotelweisshorn.com

www.hardrockhoteldavos.com

www.belvedere-locarno.com

www.morcote-residenza.com

www.hotelfarinet.com

www.seitensprungzimmer24.com

www.hrk-ramoz.com

www.arbezie-hotel.com

seitensprungzimmer24.com

www.arbezie.com

www.aubergemontblanc.com

www.alpenlodge.com

www.aparthotelzurich.com

www.torhotel.com

www.bnbdelacolline.com

www.elite-hotel.com

www.bristol-adelboden.com

elite-hotel.com

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-11-02,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 绿盟科技CERT 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档