一次快乐午休时光之后的应急病毒样本分析

5yes · 发表于 2023-3-13 14:12

本帖最后由 5yes 于 2023-3-13 14:25 编辑

某天，正沉浸在午休快乐时光，突然我的2018年神级电脑微信客户端跳出一条消息Xx单位中了勒索

我当场跳了，一看，加密后缀是Devos，是Phobs勒索家族的的分支因为来不及去现场，遂叫先自查一下这个路径
将文件加密压缩后进行分析(应急完成之后)

将文件加密压缩后进行分析(应急完成之后)

从入口函数出发

跟进Sub_403F14(获得文件句柄)->Sub_402E4C 发现是异常函数RaiseException函数，通过RtlUnwind函数生成异常，目的是在异常处理中改变程序的执行流程，触发异常，增加调试时间，忽略即可

sub_4070DC 初步看是跟文件和多线程相关

跟进sub_4049D0

不会执行commanlinaA

跟到8186

接下走到 sub_00407678->sub_00405008

跟进 dec循环一千多次，直接在下面下个断点F4运行完

然后检索为临时文件指定的目录的路径

sub_00407678->sub_004031C4 //5008下面

sub_004031C4循环edx得到的临时路径，循环完跳出

5200之前就不看了

跟进sub_00405200

跟进sub_00405200-> sub_405080

通配符寻找文件夹然后关闭

退出到sub_00407678，主要是看一下红框部分

发现3214创建文件夹

Sub_00407678->sub_00405b24

再跟细一点就是Sub_00407678->sub_00405b24->sub_404B68

重点观察的红框shellexute那里可以看到通过shellexecuteA 运行了我们之前看到在tp临时目录下生成的fast

到这却还没有进行加密文件，那么加密函数应该是在这个释放的fast里面，先压缩下次分析(主要是懒)

gaoxugx · 发表于 2023-3-13 15:07

真厉害，支持支持

daishuadaishu · 发表于 2023-3-13 16:04

看不太懂但是总觉得薄纱这帮人很爽

DreamWave · 发表于 2023-3-13 16:56

制裁勒索病毒

快乐的小跳蛙 · 发表于 2023-3-13 17:21

分享下样本

jianghan251 · 发表于 2023-3-13 20:17

厉害厉害，可以啊

15208939712 · 发表于 2023-3-13 21:38

厉害厉害，可以啊

li000yu · 发表于 2023-3-14 00:41

不明觉厉哈哈哈

列明 · 发表于 2023-3-14 06:45

看见几个比较熟悉的系统API，就知道那几句的功能了。

dami · 发表于 2023-3-14 09:07

爆杀病毒，真的爽到~

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 一次快乐午休时光之后的应急病毒样本分析