样本分析
1.样本使用NETReactor加壳,如下所示:
2.解析样本中的资源数据,并解密,如下所示:
3.样本的资源数据ID为__,数据如下所示:
4.解密出来的数据,如下所示:
5.在内存中加载执行解密出来的代码,将此代码从内存中DUMP出来,使用NET语言编写的加载程序,如下所示:
6.对加载程序进行分析,会读取资源数据,然后加载资源数据,如下所示:
7.加载程序的资源数据,如下所示:
8.加载程序中的资源数据为勒索病毒的核心代码,使用NET语言编写,NETReactor加壳,如下所示:
9.对勒索病毒核心代码去混淆之后,如下所示:
这款勒索病毒有可能是HERMES(爱马仕)勒索病毒团伙重新包装的一款新型的勒索病毒,新型的勒索病毒名为:MARRACRYPT,版本为1.0版本,勒索提示信息,如下所示:
10.遍历磁盘目录文件,对文件进行加密,会跳过一些特定的文件目录或文件后缀,如下所示:
11.加密文件的过程,如下所示:
12.加密后的文件,如下所示:
13.加密磁盘之后,会生成BAT文件,然后启动BAT文件删除磁盘卷影备本等,如下所示:
sys.bat文件内容,如下所示:
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:
2、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
转载请注明:http://www.wangguoqiangq.com/sglbly/7507.html
