一、样本简介
样本是吾爱破解论坛找到的,原网址:https://www.52pojie.cn/thread-1021466-1-1.html,
样本链接: 链接: https://pan.baidu.com/s/1yueeQ91bGfIwnRNmWnKhtg 提取码: de5z
样本ESET检测为Win32/Filecoder.Maoloa.E 特洛伊木马。此类型的病毒会加密文件然后勒索用户。
二、现象描述
双击运行可执行文件后,会在当前目录出现一个名为ids.txt的文件。并且所有盘中的文件会被加密,都无法运行,且文件后缀名被改为.Hades666。各级目录中出现名为HOW TO BACK YOUR FILES.txt的勒索信息。
三、样本信息
MD5值:4340a57818605f3ede85daa24beb132c
SHA1值:7eed81b7d741fc234e3af275cacc979d7e717aec
CRC32校验码: 42f50c61
SHA-256:4b007073586ededba08b535b724703e0ac59806fae66bbfdb5a098e4d8cc5d29
四、测试环境及工具
环境:Windows 7 64位
工具:火绒剑,OD,IDA,exeinfope,aslr_disabler.exe
五、样本行为分析
1)首先进行提权,方便执行后续的操作
2)进行关键字符串的计算,计算方式很复杂
其中字符串由三部分组成
第一部分:AES算法
第二部分:SHA-512
第三部分:直接复制
再分两部分经过40AB00函数处理,再整体经40A290处理
然后将文本创建并写入C:\ProgramData\local\ .DF7ADA61E0284DDD4F1E中
接着读取文件内的字符串。在410980函数中,经过以下计算得到最后的字符串
将最后得到的字符串保存在idx.txt中
3)将病毒的完整目录写入注册表中,并开启新的线程
在新的线程里,继续创建线程
4)在线程中进行加密计算
加密过程为遍历磁盘所有文件和文件夹
排除以下格式:dll、ln、 ini、sys
排除以下文件夹和文件:.、 .. 、windows 、bootmgr 、pagefile.sys、 boot 、ids.txt、 NTUSER.DAT、 Perflogs
加密过程如下
然后通过函数40ACA0附加一部分数据,过程和步骤二一样。也分为三步。
最后改文件名
解密的话和最后一段附加数据有关,每个文件加密的最后都有一段附加数据。根据这段数据逆推就可以解密。