查看: 5473|回复: 32
收起左侧

[原创分析] 新型Qism勒索病毒分析

[复制链接]
MIAIONE
发表于 2020-4-27 18:16:24 | 显示全部楼层 |阅读模式
本帖最后由 MIAIONE 于 2020-4-27 18:16 编辑

注意:本文件仅为可疑对象,尚未传播以证实其危险性,还需仔细暗中观察和分析


今日我在我的QQ文件中发现可疑文件,名为System.exe,经过各大安全软件查杀后无一例报毒,于是我决定先分析下。
编写语言:C#/VB.NET
危险程度:很高
是否加壳:否
我个人猜测可能是作者想先测试然后发到了QQ上,所以肯定是我加的群里有人发文件(我开了自动下载小于1GB的附件)
这个AES+RSA就感觉不对

于是我找到了关键特征-----》遍历文件

而且奇怪的WINAPI也是重点

我很好奇为什么他要这么多权限?岂不是很容易被杀软查出来?不过接下来谁都预料不到的是他还没有用!估计这是他调试的时候的样本,还没有写全。
------------------------
我还发现他为了防止通过文件恢复,还使用了文件粉碎的代码!
BlockTime是空的
不过BlockTime我个人猜测应该是放文件检测的,检测到新文件就单独加密,不用全盘遍历一次了
MIAIONE
头像被屏蔽
 楼主| 发表于 2020-4-27 18:17:31 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
K560987
发表于 2020-4-27 18:42:16 | 显示全部楼层
所以。。。样本呢?
MIAIONE
 楼主| 发表于 2020-4-27 18:46:35 | 显示全部楼层
K560987 发表于 2020-4-27 18:42
所以。。。样本呢?

发不了,等下我发下云盘
MIAIONE
 楼主| 发表于 2020-4-27 18:48:24 | 显示全部楼层
QVM360
发表于 2020-4-27 19:23:29 | 显示全部楼层
ESET scan miss
岚Azure
发表于 2020-4-27 19:35:29 | 显示全部楼层
BD企业版——文件防护
miss
右键扫描miss
54ss
发表于 2020-4-27 19:55:27 来自手机 | 显示全部楼层
岚Azure 发表于 2020-4-27 19:35
BD企业版——文件防护
miss
右键扫描miss

fireeye报了 bd没报吗……
岚Azure
发表于 2020-4-27 20:49:50 | 显示全部楼层
54ss 发表于 2020-4-27 19:55
fireeye报了 bd没报吗……

又试了一次,扫描miss
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 19:21 , Processed in 0.179953 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表