原样本在公司,这里分析的是过了混淆之后的dump文件:
list一下字符串:
基本确定是GandCrab的变种了,详细分析一下它的模块
ghidra有很多进程没有识别出来,但是很明显这是结束关键进程的,以免文件被占用不能加密。
跟踪这个函数,发现只有一次调用,那就好办了:
跟踪那个函数,可以发现这里是遍历磁盘,跟进线程的回调函数:
进入遍历磁盘函数,先在桌面创建一个Decrypt.txt文件:
进入加密文件函数fun_00405807,发现加密时先导入rsa公钥,然后读入文件内容加密,最后用 MoveFile改文件名字。
在文件的尾部写入了GandCrab的相关信息。
在加密线程结束之后,开始上传用户的计算机信息:
getComputerInfo函数,把获取到的信息保存到存过来到结构体里面,用到HeapAlloc申请到内存,houm:
接下来调用FUN_00405dcd函数将结构体全部解析为字符串
最后用Base64加密post传给服务器:
变种GandCrab样本分析
最新推荐文章于 2022-04-06 10:17:13 发布