变种GandCrab样本分析

最新推荐文章于 2022-04-06 10:17:13 发布
最新推荐文章于 2022-04-06 10:17:13 发布
阅读量272 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CosmopolitanMe/article/details/100324252
版权

原样本在公司,这里分析的是过了混淆之后的dump文件:
list一下字符串:
在这里插入图片描述
基本确定是GandCrab的变种了,详细分析一下它的模块
在这里插入图片描述
ghidra有很多进程没有识别出来,但是很明显这是结束关键进程的,以免文件被占用不能加密。
跟踪这个函数,发现只有一次调用,那就好办了:
在这里插入图片描述
跟踪那个函数,可以发现这里是遍历磁盘,跟进线程的回调函数:
在这里插入图片描述
进入遍历磁盘函数,先在桌面创建一个Decrypt.txt文件:
在这里插入图片描述
进入加密文件函数fun_00405807,发现加密时先导入rsa公钥,然后读入文件内容加密,最后用 MoveFile改文件名字。
在这里插入图片描述
在文件的尾部写入了GandCrab的相关信息。
在这里插入图片描述
在加密线程结束之后,开始上传用户的计算机信息:
在这里插入图片描述
getComputerInfo函数,把获取到的信息保存到存过来到结构体里面,用到HeapAlloc申请到内存,houm:
在这里插入图片描述
接下来调用FUN_00405dcd函数将结构体全部解析为字符串
在这里插入图片描述
最后用Base64加密post传给服务器:
在这里插入图片描述

Cosmop01itan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GandCrabV2.0病毒分析记录
黑夜黎明
04-30 973
分析环境 吾爱破解虚拟机(XP系统) 火绒剑 样本来源 https://www.52pojie.cn/thread-712552-1-1.html 病毒文件信息 文件: C:\Documents and Settings\Administrator\桌面\GandCrabV2.0 样本 IDB\GandCrabV2.0 样本+IDB\hmieuy.exe 大小: 315912 bytes 修改时间...
GandCrab5.0.9样本详细分析
weixin_34384557的博客
02-26 269
☣前言: WannaCry利用永恒之蓝漏洞爆发以后,病毒安全的前沿对抗最频繁种类则是勒索病毒了,17年初或者更早就有人捕获了GandCrab家族的勒索病毒,直到18年已经更新迭代到了5.0版本,18年进入尾声的时候,安全研究人员发现了GandCrab勒索病毒的V5.1最新版变种。 对于勒索个人看法:当第一次听说勒索病毒的时候,就感觉一定是无法抗拒的利益驱动,才会让某一群人去迭代、维护、研发勒索病毒...
GandCrab V2.0 详细分析
yan_star的博客
04-12 1642
GandCrab V2.0 详细分析说明:一、前言:二、行为概述:样本信息:样本来源:VirusTotal:三、病毒分析环境及工具:四、基础病毒分析:查壳:使用IDA与Resource Hack进行基础静态分析:使用火绒剑进行基础动态分析:五、详细病毒分析:解密shellcode分析:Shellcode分析:PE2.dll分析:初始化部分:网络部分:加密部分:GandCrab V2.0 行为流程总...
勒索病毒GandCrabV5.0.3最新变种来袭
weixin_34326179的博客
11-12 168
GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现它的最新变种GandCrabV5.0版本的变种样本GandCrab的感染方式主要是通过以下几种方式:(1)RDP爆破(2)垃圾邮件,带有恶意链...
GandCrab勒索病毒
weixin_44722125的博客
06-07 1237
RDP暴力破解 RDP(Remote Desktop Protocol)称为“远程桌面登录协议”,即当某台计算机开启了远程桌面连接功能后(在windows系统中这个功能是默认打开的),我们就可以在网络的另一端控制这台机器了。通过远程桌面功能,我们可以实时地操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。 RDP攻击就是利用RDP功能登录到远程机器上,把该远程机器作为“肉鸡”,在上面种植木马、偷窃信息、发起DDOS攻击等行为。要实现将远程机器作为RDP肉鸡,必须知道远程机
DDG最新变种3014样本分析
12-20
DDG最新变种3014样本分析
trojan变种分析
04-16
Trojan 变种分析 Trojan 变种是一种恶意软件,它可以对计算机系统造成严重的危害。根据给定的文件信息,我们可以了解到这种恶意软件的特点和行为。 首先,Trojan 变种的病毒母体是由 svchost.exe 和 spoolsv.exe ...
kdevtmpfsi样本.zip
03-16
- **隔离分析**:在安全的环境中分析样本,以了解其行为和潜在危害。 - **报告和共享**:如果发现新的变种或攻击模式,应向安全社区报告,帮助其他人防御。 - **清除与修复**:一旦发现感染,立即停止受影响的...
康拓1数据延期发卡教程 康拓变种工具
06-13
本文将深入探讨“康拓1数据延期发卡教程”以及“康拓变种工具”,这两个主题紧密关联于智能卡管理,特别是卡片的生命周期管理和安全更新。 首先,我们来理解“数据延期发卡”。在智能卡系统中,数据延期是一种常见...
Mirai变种Masuta源码
03-11
不过,Masuta的代码更加彰显了“专业开发”的属性,无论是其附加功能,还是程序员处理代码痕迹的方式都是前几个版本的变种所不具备的。Masuta的发展不仅展现了漏洞利用家族的演变,还展现了个人程序员的演变。
GandCrab v5.0.x 那些事儿——行为分析、免疫与救援须知
11-29
GandCrab v5.0.x 那些事儿——行为分析、免疫与救援须知
GandCrab解密工具下载
Websec
02-20 729
老外解密工具下载地址: https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
GANDCRAB V5.2勒索病毒,不可破解,尽快防御!
neulingxiabadu的专栏
04-18 651
近日,一款名为GandCrab V5.2的“侠盗病毒”肆虐而至,已攻击了巴西、美国、印度、印度尼西亚和巴基斯坦等多个国家,大有再现2017年WannaCry病毒“昔日荣光”(攻击全球150多个国家、造成总计超80亿天价损失)的迹象。 截止目前,我国已有数千台政府以及企业的电脑遭受到攻击,而各大安全团队目前还未找到破解之法。网安众安在此提醒大家,千万做好相关防...
GandCrab4.0勒索病毒解密工具
摔不死的笨鸟的博客
09-21 1314
GandCrab介绍 GandCrab是由一个十分猖狂的团队研发的勒索软件病毒,2018年开始活跃,一年内勒索了将近20亿美元。2019年可谓臭名远扬的勒索软件之王:GandCrab背后的运营团队在俄语论坛中发表官方声明称,GandCrab勒索病毒将停止更新。 为什么停止更新了呢?答案竟是,钱赚够了。然而这么猖狂的犯罪团伙,至今都没有被找到幕后团伙是谁。这就是GandCrab勒索软件的神奇传说。 今天分享就分析个去年写的GandCrab v4.0工具。 GandCrab勒索软件分析 白名单目录: \Pr
Gandcrab 5.2分析
ndscibahs的博客
06-01 886
今天分析的是GrandCrab 5.2勒索病毒,虽然已经有人分析过了,但是抱着学习的态度,自己还是来分析一遍。 一、样本详情 PE: packer: UPX(3.95)[NRV,best] PE: compiler: Microsoft Visual C/C++(2008)[-] PE: linker: Microsoft Linker(9.0)[EXE32] 二、行为分析 遍历目录创建勒索信,加密文件,删除卷影卷轴还原点。 后缀被改成 .khxrp 三、详细分析 外层loader分析 接着申请内存空
GANDCRAB勒索病毒新变种GANDCRAB V5.2 恢复成功 完美恢复
weixin_33913332的博客
02-25 151
GANDCRAB勒索病毒即5.1版本后,出现新变种GANDCRAB V5.2,根据GANDCRAB作者描述,GANDCRAB V5.1有漏洞,被比特梵德以及各大杀毒软件商利用,成功破译一批代码。但,这仍是杯水车薪,仍有大量的受害者不能处理,致使,损失惨重!石家庄某国企中了后缀是GANDCRAB V5.2的勒索病毒,此种勒索病毒是当今比较顽固,危害最大的病毒之一。找到我们后,一天内全部处理完成勒索病...
GandCrab勒索病毒就此销声匿迹了吗?
systemino的博客
11-06 763
GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5...
GandCrab v2.0 勒索病毒分析
weixin_41487541的博客
04-06 706
1. 原始样本分析 首先对原本样本hmieuy.exe查壳,没有发现壳。 再使用pe工具查看原始样本: 发现EnumResourceNamesA、FindFirstFIleA、MoveFileW、GetProcAddress等函数,同时原本资源节中还含有内容;初步猜测样本可能会搜索资源节中数据并进行某种操作。 1.1 代码分析 IDA打开原始样本hmieuy.exe分析,在wWinMain函数函数入口发现代码混淆: 寻找关键点,发现分配堆空间函数GlobalAlloc函数的调用,
永恒之蓝WannaCry勒索蠕虫详细分析变种追踪
- 安全组织密切关注这些变种,通过监测样本分析恶意代码的结构,识别出仅改变域名部分的特征,以防止新的感染。 5. 后续影响与学习: - 永恒之蓝(WannaCry)勒索蠕虫事件凸显了网络空间安全的重要性,促使企业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值