一、樣本簡介
樣本是吾愛破解論壇找到的,原網址:https://www.52pojie.cn/thread-1021466-1-1.html,
樣本鏈接: 鏈接: https://pan.baidu.com/s/1yueeQ91bGfIwnRNmWnKhtg 提取碼: de5z
樣本ESET檢測爲Win32/Filecoder.Maoloa.E 特洛伊木馬。此類型的病毒會加密文件然後勒索用戶。
二、現象描述
雙擊運行可執行文件後,會在當前目錄出現一個名爲ids.txt的文件。並且所有盤中的文件會被加密,都無法運行,且文件後綴名被改爲.Hades666。各級目錄中出現名爲HOW TO BACK YOUR FILES.txt的勒索信息。
三、樣本信息
MD5值:4340a57818605f3ede85daa24beb132c
SHA1值:7eed81b7d741fc234e3af275cacc979d7e717aec
CRC32校驗碼: 42f50c61
SHA-256:4b007073586ededba08b535b724703e0ac59806fae66bbfdb5a098e4d8cc5d29
四、測試環境及工具
環境:Windows 7 64位
工具:火絨劍,OD,IDA,exeinfope,aslr_disabler.exe
五、樣本行爲分析
1)首先進行提權,方便執行後續的操作
2)進行關鍵字符串的計算,計算方式很複雜
其中字符串由三部分組成
第一部分:AES算法
第二部分:SHA-512
第三部分:直接複製
再分兩部分經過40AB00函數處理,再整體經40A290處理
然後將文本創建並寫入C:\ProgramData\local\ .DF7ADA61E0284DDD4F1E中
接着讀取文件內的字符串。在410980函數中,經過Base64b編碼計算得到最後的字符串
將最後得到的字符串保存在idx.txt中
3)將病毒的完整目錄寫入註冊表中,並開啓新的線程
在新的線程裏,繼續創建線程
4)在新的線程中進行加密計算
加密過程爲遍歷磁盤所有文件和文件夾
排除以下格式:dll、lnk、 ini、sys
排除以下文件夾和文件:.、 .. 、windows 、bootmgr 、pagefile.sys、 boot 、ids.txt、 NTUSER.DAT、 Perflogs
加密過程如下
加密完所有文本後,通過函數40ACA0附加一部分數據,過程和步驟二一樣。也分爲三步。
最後改文件名
解密的話和最後一段附加數據有關,每個文件加密的最後都有一段附加數據。根據這段數據逆推就可以解密。