病毒分析三：勒索病毒分析

一、样本简介
样本是吾爱破解论坛找到的，原网址：https://www.52pojie.cn/thread-1021466-1-1.html，
样本链接: 链接: https://pan.baidu.com/s/1yueeQ91bGfIwnRNmWnKhtg 提取码: de5z
样本ESET检测为Win32/Filecoder.Maoloa.E 特洛伊木马。此类型的病毒会加密文件然后勒索用户。

二、现象描述

双击运行可执行文件后，会在当前目录出现一个名为ids.txt的文件。并且所有盘中的文件会被加密，都无法运行，且文件后缀名被改为.Hades666。各级目录中出现名为HOW TO BACK YOUR FILES.txt的勒索信息。

三、样本信息

MD5值：4340a57818605f3ede85daa24beb132c

SHA1值：7eed81b7d741fc234e3af275cacc979d7e717aec
CRC32校验码: 42f50c61

SHA-256:4b007073586ededba08b535b724703e0ac59806fae66bbfdb5a098e4d8cc5d29

四、测试环境及工具

环境：Windows 7 64位 
工具：火绒剑，OD，IDA，exeinfope，aslr_disabler.exe

五、样本行为分析

1）首先进行提权，方便执行后续的操作

2）进行关键字符串的计算，计算方式很复杂
其中字符串由三部分组成
第一部分：AES算法

第二部分：SHA-512

第三部分：直接复制

再分两部分经过40AB00函数处理，再整体经40A290处理

然后将文本创建并写入C:\ProgramData\local\ .DF7ADA61E0284DDD4F1E中

接着读取文件内的字符串。在410980函数中，经过以下计算得到最后的字符串

将最后得到的字符串保存在idx.txt中

3）将病毒的完整目录写入注册表中，并开启新的线程

在新的线程里，继续创建线程

4）在线程中进行加密计算
加密过程为遍历磁盘所有文件和文件夹
排除以下格式：dll、ln、 ini、sys

排除以下文件夹和文件：.、 .. 、windows 、bootmgr 、pagefile.sys、 boot 、ids.txt、 NTUSER.DAT、 Perflogs
加密过程如下

然后通过函数40ACA0附加一部分数据，过程和步骤二一样。也分为三步。
最后改文件名

解密的话和最后一段附加数据有关，每个文件加密的最后都有一段附加数据。根据这段数据逆推就可以解密。