接口设计和安全,网络web安全,黑客攻防,漏洞病毒分析

CryptoShield 勒索病毒分析

2018-04-19  本文已影响0人  Killshadow
感染后,会加密文件,无法打开文件

0x01 病毒行为分析

  1. 查壳: 无壳
  2. PE explorer查看导入dll:

    查看导入dll
  3. API Monitor查看导入dll:

    image.png
  4. 资源分析: 发现很多都出现错误
  5. 可发现启动项已被修改: image.png
  6. 发现该病毒会访问一个固定ip:45.76.81.110的80端口:

    image.png
  7. 注册表多处被修改: 注册表值修改

0x10 病毒程序分析

  1. 用IDA直接分析该病毒并没有找到病毒感染特征: 无感染特征
  2. 用OD打开病毒文件,下dll载入断点分析程序内存块: 下断点, 中断于新DLL, 等程序解密完之后,就能看到真正的勒索程序
  3. 发现dll被加载后,多出几个内存区段,猜测那是加载dll解密后的病毒程序: 从memory map中可看到新增了一段数据, 打开看是程序文件头格式, 可确认是勒索程序, dump出来即可用IDA分析
4.IDA打开dump出来的二进制文件, 能完整分析文件: 真正勒索程序OEP
  1. 获取根目录信息函数: 获取根目录卷信息函数
  2. 这里可知特殊的ID是根据C盘的卷标序列号和用户名生成的: image.png
  3. 进一步分析可看到被排除的文件目录: 排除加密的文件
  4. 待加密的文件格式: 待加密的文件格式
  5. 连接远程服务器的源码: 向远程服务器连接的源码
  6. 文件加密过程: 文件加密过程
上一篇下一篇

猜你喜欢

热点阅读