本地勒索病毒简单分析

ADD1ADD2

Local勒索病毒分析报告

目录
病毒信息1
病毒概况1
病毒危害1
手工清除方法1
漏洞补丁信息2
应对措施及建议2
文件行为2
进程行为3
注册表行为3
网络行为5
详细分析报告6
样本溯源分析15

病毒信息：
病毒名称：V1Fast.exe。
病毒家族：。
病毒类型：本地勒索病毒。
MD5：                C3CCDE9C3FAB53D5C749B2186E997BDC。
SHA1：        B494A696F4EDBBD3831163DFD0F1B5EFC134D068。
文件大小：PE EXE。
文件类型：57,344 字节。
传播途径：。
专杀信息：暂无
影响系统：软件无法使用。
样本来源：互联网
发现时间：。
入库时间：。
C2服务器：。
病毒概况
该样本来源于互联网，但是发布者并未对齐公开自身的分析，经过对其运行分析，该病毒属于勒索病毒一种，他会对系统文件（除了程序本身的重要程序文件）及其他程序进行删除备份加密，使所有软件基本上无法运行。
病毒危害
        该病毒影响软件无法正常运行，文件及文件夹均被加密。
手工清除方法
暂无
漏洞补丁信息
暂无
应对措施及建议
1).建议用户保持良好的上网习惯，不要随意打开来路不明的邮件及文档。
2).及时更新系统及软件，保持系统和软件保持最新版本。
3).备份好电脑的重要资料和文档，定期检查内部的备份机制是否正常运行。
4).不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
5).安装专业的防毒软件升级到最新版本，并开启实时监控功能。
6).不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

文件行为
1). 打开所以有文件。
2). 创建文件，
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exel......
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
3). 截断文件，
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe、
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
4). 写入文件，C:\WINDOWS\system32\wupdmgr.dll。
5). 设置文件属性        
C:\Users\15PB\AppData\Local\V1Fast.exe
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
6). 修改文件        
C:\Users\15PB\AppData\Local\V1Fast.exe、
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe、
C:\Program\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe......。
7). 遍历目录。
8). 重命名文件。
......
进程行为
1).打开进程 C:\Windows\System32\cmd.exe。
2).跨进程写入 向C:\Windows\System32\mshta.exe应用程序主机写入。
3).创建进程 c:\windows\system32\sysprep\sysprep.exe......。
4).枚举进程 ......。
5).加载模块  C:\Windows\System32\vmhgfs.dlll......。
6).打开设备 \Device\hgfsInteranl......

注册表行为
1).创建注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\V1Fast
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\V1Fast
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\Debug\StoreLocation。
2).删除注册表键值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName。
3).创建注册表键：
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2c\AAF68885
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\CA
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\CA
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\CA
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\Disallowed
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\Disallowed
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\AuthRoot
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\Root
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\SmartCardRoot
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\TrustedPeople
HKEY_LOCAL_MACHINE\Software\Microsoft\SystemCertificates\trust
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\trust
HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\trust
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache\2c\AAF68885
HKEY_CURRENT_USER\Software\Classes\Local Settings\MuiCache
网络行为
暂无

详细分析报告
1). 首先查看他的PE及壳信息这是一个VC8程序编写的未加壳程序：

2). OD与IDA 分析发现只有一个主函数，主函数第一步调用申请的堆空间，并对堆空间进行初始化：


3)创建V1Fast.exe进程/获取注册表键：





4)遍历盘符是否是C盘：


5)启动程序C:\Users\15PB\Desktop\Local.7z\V1Fast.exe，主要获取了加载任意dll的注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LoadAppInit_DLLs，最后程序在自毁：


6)勒索病毒常用的命令用vssadmin运行删除所有卷影副本命令:


7)创建线程1，里面涉及到拷贝和复制文件操作，线性参数中存在一个创建进程操作：






8)拷贝文件到c\user\****\appdata\local\V1Fast.exe，修改文件属性,释放PE文件到自身，并且将这个复制文件设置启动项的四种方式，设置文件属性为0x00000000
C:\Users\15PB\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\V1Fast.exe,
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\V1Fast.exe:               





9)重复步骤7：创建线程，线程中包含一个进程；

10)然后创建了三个线程waitforsingleobject等待，这三个线程对注册表，及文件进行了大量的操作，访问了注册表键的电脑用户，获取了用户名，获取系统组件，改变进程权限提权，并且遍历进程，遍历了目录文件，释放了隐藏文件，对文件夹进行重命名，并对文件进行加密：






11)下面的函数中发现一个网址，但是并未发现网络操作：

12)在存在的硬盘根目录下创建了提示语的勒索信息，在桌面上创建了info.hta弹窗程序，利用ShellExecuteExW弹出四个提示勒索窗口：




13)在桌面创建info.txt勒索信息提示语：


14)将提示语txt文件创建到C盘根目录下：

15)将提示窗口的程序info.hta创建在D盘的根目录下：

16)加载恶意模块并将，14/15操作盘符地址更换，使每一个硬盘下都存在提示语和提示弹窗：

17)接下来就是创建的三个线程对注册表，文件进行的加密。
样本溯源分析
通过对网址的分析：

结论：这种病毒对注册表相当偏爱，对文件的操作加密方式应该是一种非对称加密方式，留待以后细致分析。
Local.7z.zip (2.34 MB, 下载次数: 159)

2022-5-16 18:35 上传

点击文件名下载附件

lhlking

勒索病毒危害性很大，有的纯粹就是骗钱，给充了B也不给解锁。

重要的服务器及电脑一定要装相应的防御措施。

姚小宝

这应该是phobs家族

cfsxy

感谢楼主分享

Eaglecad

很厉害，感谢分享

bigqyng

大佬，感谢分享

apocalypsechen

学习了，感谢分享！

qz360

感谢分享！

咔c君

不错厉害了

xiaodaner

谢谢分享

alunmaike

挺好，谢谢分享