收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 剛剛我用虛擬架了引誘病毒的環境 結果發現了....
1234下一页
返回列表 发新帖
楼主: a7878330
 收起左侧

[病毒样本] 剛剛我用虛擬架了引誘病毒的環境 結果發現了....

[复制链接]
www-tekeze
发表于 2018-8-3 22:57:10 | 显示全部楼层
18603867890 发表于 2018-8-3 22:48
这是我收藏的样本解压下来的文件。

不想下了,估计我也有。。。手里勒索类的有二百来个吧,唉,双击也玩厌了。。
回复

举报

wk2534425660
发表于 2018-8-3 23:08:51 | 显示全部楼层
www-tekeze 发表于 2018-8-3 22:57
不想下了,估计我也有。。。手里勒索类的有二百来个吧,唉,双击也玩厌了。。

我也有2,3百个了
回复

举报

wk2534425660
发表于 2018-8-3 23:10:16 | 显示全部楼层
www-tekeze 发表于 2018-8-3 22:49
没错,和我的那个一模一样,压缩后是3,403KB,但不明白你说的直接双击也能运行,本身不是自解压啊。

完美解释:2.2 勒索病毒部分详细分析:

       2.2.1 该程序资源中包含带有密码的压缩文件,使用密码“WNcry@2ol7”解压之后释放出一组文件:

       a)taskdl.exe,删除临时目录下的所有“*.WNCRYT”扩展名的临时文件。
       b)taskse.exe,以任意session运行指定程序。
       c)u.wnry,解密程序,释放后名为@WanaDecryptor@.exe。
       d)b.wnry勒索图片资源。
       e)s.wnry,包含洋葱路由器组件的压缩包。病毒作者将勒索服务器搭建在”暗网”,需要通过tor.exe和服务器进行通信。
       f)c.wnry,洋葱路由器地址信息。
       g)t.wnry,解密后得到加密文件主要逻辑代码。
       h)r.wnry,勒索Q&A。

       2.2.2 通过命令行修改所有文件的权限为完全访问权限。命令行如下:icacls . /grant Everyone:F /T /C /Q

       2.2.3 解密t.wnry文件数据得到含有主要加密逻辑代码的动态库,通过其模拟的LoadLibrary和GetProcAddress函数调用该动态库中的导出函数执行其加密逻辑。
调用勒索动态库代码,如下图所示:
               勒索主逻辑执行,先会导入一个存放在镜像中的RSA公钥,之后调用CryptGenKey生成一组RSA算法的Session key。之后将这组Key的公钥通过CryptExportKey导出,再写入到00000000.pky文件中。将Session key中的私钥用刚导入RSA公钥进行加密,存放在00000000.eky如下图所示:
               如果遍历到的文件扩展名在欲加密的文件扩展名列表中,如下图所示:
               则会将当前文件路径加入到文件操作列表中,在遍历文件结束后一并进行文件操作。代码如下图:
               对于每个需要加密的文件,都会调用CryptGenRadom随机生成AES密钥,之后使用Session Key中的RSA公钥对AES密钥进行加密,存放在加密后的数据文件头中,之后将原始文件数据用该AES密钥进行加密。如下图所示:
               整体加密流程,如下图所示:
               因为病毒是生成加密过的用户文件后再删除原始文件,所以存在通过文件恢复类工具恢复原始未加密文件的可能。但是因为病毒对文件系统的修改操作过于频繁,导致被删除的原始文件数据块被覆盖,致使实际恢复效果有限。且随着系统持续运行,恢复类工具恢复数据的可能性会显著降低。

回复

举报

WhiteCruel
发表于 2018-8-3 23:35:16 | 显示全部楼层
ESET miss reg和tasksche

  1. mssecsvc.exe;Win32/Exploit.CVE-2017-0147.A
  2. qeriuwjhrf;Win32/Filecoder.WannaCryptor.D
  3. mssecsvr.exe;Win32/Exploit.CVE-2017-0147.A
复制代码
回复

举报

a7878330
 楼主| 发表于 2018-8-4 08:39:10 | 显示全部楼层
18603867890 发表于 2018-8-3 22:47
楼,我用WinRAR打开你发的样本了,但说是损坏了。

應該是我跟你的壓縮版本不同吧
回复

举报

a7878330
 楼主| 发表于 2018-8-4 08:40:16 | 显示全部楼层
18603867890 发表于 2018-8-3 22:55
楼主,你那个“shift.reg”注册表文件是干嘛的,里面写着Windows Registry Editor Version 5.00

[HKEY_L ...

我捕獲到的疑似更改系統設定的reg  從病毒那邊拿到的
回复

举报

wk2534425660
发表于 2018-8-4 08:43:22 | 显示全部楼层
a7878330 发表于 2018-8-4 08:40
我捕獲到的疑似更改系統設定的reg  從病毒那邊拿到的

好吧,对我来说,看不懂......
回复

举报

a7878330
 楼主| 发表于 2018-8-4 08:50:13 | 显示全部楼层
18603867890 发表于 2018-8-4 08:43
好吧,对我来说,看不懂......

摁摁  但是這次補獲到得有點太狠  加密沒成功 還給我改系統設定和藍頻
回复

举报

wk2534425660
发表于 2018-8-4 08:51:56 | 显示全部楼层
听你描述像WannaCry1.0(电脑坏了,没法测试)
回复

举报

a7878330
 楼主| 发表于 2018-8-4 09:20:05 | 显示全部楼层
18603867890 发表于 2018-8-4 08:51
听你描述像WannaCry1.0(电脑坏了,没法测试)

這惡意程式  感覺加密不成  直接亂更改設定  造成藍頻
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-6-26 09:08 , Processed in 0.103510 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表