一、样本简介
GandCrab勒索病毒于年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本的更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现了它的最新变种GandCrabV5.0版本变种样本。
GandCrab的感染方式主要是通过以下几种方式:
(1)RDP爆破
(2)垃圾邮件,带有恶意链接或附件
(3)下载捆绑有恶意程序的正常软件
(4)利用ExploitKit等漏洞利用工具包
此次发现的GandCrabV5.0的变种样本,通过恶意广告进行分发,利用FalloutExploitKit漏洞利用工具包网站传播安装GandCrabV5.0勒索病毒样本。
GandCrabV5.0版本的勒索信息超文本文件相应的内容如下所示:
相应的TOR勒索信息网址,如下所示:
二、样本分析
1.通过FalloutExploitKit漏洞利用工具包下载安装GandCrabV5.0勒索病毒的Payload,分析相应的Payload,解密出里面的ShellCode代码,如下所示:
2.执行ShellCode代码,在内存中解密出GandCrabV5.0勒索病毒核心加密模块,然后在内存中加载执行加密体,如下所示:
3.Dump出勒索病毒的核心模块,与之前的4.X变种样本一样,V5.0版的样本同样使用了静态对抗反汇编的方法,如下所示:
去混淆之后,如下所示:
4.样本的勒索信息,版本号变为了V5.0,如下所示:
5.遍历进程,结束相关进程,如下所示:
相关的进程列表如下所示:
msftesql.exe、sqlagent.exe、
sqlbrowser.exe、sqlwriter.exe、
oracle.exe、ocssd.exe
dbsnmp.exe、synctime.exe、
agntsvc.exeisqlplussvc.exe、
xfssvccon.exe
sqlservr.exe、mydesktopservice.exe、
ocautoupds.exe、agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe、firefoxconfig.exe、
tbirdconfig.exe、mydesktopqos.exe
o
转载请注明:http://www.wangguoqiangq.com/sglbmj/8708.html
