锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务,锦州广厦维修电脑,公司IT外包服务
topFlag1 设为首页
topFlag3 收藏本站
 
maojin003 首 页 公司介绍 服务项目 服务报价 维修流程 IT外包服务 服务器维护 技术文章 常见故障
锦州市广厦电脑维修|上门维修电脑|上门做系统|0416-3905144热诚服务技术文章
病毒分析小白尝鲜-GANDCRAB勒索家族分析

作者: 佚名  日期:2023-07-26 13:58:21   来源: 本站整理

 GandCrab于2018年年初问世,主要利用RDP爆破、钓鱼邮件、捆绑软件、僵尸网络、CVE-2017-8570漏洞利用等方式进行攻击,此家族病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后为.GDCB、.GRAB、.KRAB或5-10位随机字母,将感染主机桌面背景替换为勒索信息图片。GandCrab5.1之前版本可尝试使用解密工具解密,最新GandCrab5.2无法解密。老勒索家族了,所以我在公开的威胁情报上找了一个最新被上传的样本做简要分析。
 
加壳情况
文件未加壳
 
互斥体
互斥体名称:Global\pc_group=WORKGROUP&ransom id=79e2d4c8a42336Gb

 
 
关进程
遍历并关闭所列举的进程,防止文件在加密过程中被占用
 
 
获取系统信息

通过注册表检查了当前用户组,所在地区,操作系统,系统版本号,CPU信息,以及磁盘类型和磁盘容量
 
 
 
 
 
恶意外联

通过GET和POST请求外联恶意域名
 
 
发起一个HTTP请求操作,首先通过HttpAddRequestHeadersW函数添加HTTP请求头参数,然后通过HttpSendReqst函数发送HTTP请求,并且获取HTTP响应。如果HttpSendRequestW函数返回真,则继续从网络资源获取响应数据,函数InternetReadFile通过指定HTTP连接句柄v15来获取http数据,读取到的数据存放在v16所指的缓存区,读取的字节数为a7 - 1,同时返回完整的服务器名称到lpszServerName中。其中,函数返回的结果被用于判断HTTP请求是否成功,如果成功,就继续从网络资源获取数据,如果失败,则通过函数GetLastError获取错误信息。
 
 
 
当前域名已无法访问
 
设置注册表信息
 
加密部分
使用CryptGenKey生成RSA的公私钥对,之后用CryptExportKey导出
 
 
 
使用FindFirstFileW和FindNextFileW接口遍历文件目录下的所有文件进行加密,并释放出勒索信
 
 
 
 
加密过程中注入到系统advapi32.dll
 
删除卷影

删除卷影拷贝,防止用户恢复原文件



热门文章
  • 用Fiddler实现某干教网App学习记录...
  • 病毒分析小白尝鲜-GANDCRAB勒索家族...
  • 隐马尔可夫模型及其算法
  • 华硕 GTX1050Ti Expedition 和 STR...
  • 显卡维修经验分享,RTX3080,描述为...
  • 蓝天主板改集显维修
  • 通用主板常用插槽量测点
  • GA-B150M-D2VX-SI开机掉电反复重启...
  • 红米K30 Pro开机重启怎么维修
  • 电脑休眠后无法唤醒怎么办?原来还...
  • 天逸510Pro拆机箱换固态硬盘图解
  • 电脑重装后进不了系统的三种解决方...
  • 锦州广厦电脑上门维修

    报修电话:13840665804  QQ:174984393 (联系人:毛先生)   
    E-Mail:174984393@qq.com
    维修中心地址:锦州广厦电脑城
    ICP备案/许可证号:辽ICP备2023002984号-1
    上门服务区域: 辽宁锦州市区
    主要业务: 修电脑,电脑修理,电脑维护,上门维修电脑,黑屏蓝屏死机故障排除,无线上网设置,IT服务外包,局域网组建,ADSL共享上网,路由器设置,数据恢复,密码破解,光盘刻录制作等服务

    技术支持:微软等