简介
一个勒索病毒 会把我们的文件重命名为rapiy后缀的文件和加密,用于勒索。
被感染系统及网络症状
文件都被加了后缀rapid
弹窗警告要钱(还有个弹窗有更多内容,没有截图)
详细分析
ida打开程序,在winmain中 在前边的部分有大量无关的信息。
继续往下看,我们可以看到一个shellcode常用的函数GlobalAlloc
动态调试,运行到lpAddress后,将其dump下来 大小为401b8 。之后分析dump下来的内容
动态调试可以看到virtuallolloc的调用,猜测也是shellcode的相关调用。对起分配内存的地址下硬件访问断点,发现sub_978会访问该地址,因此判断sub_978是解密函数。动调完再dump一次。
再来就是对最关键的shellcode的分析了
首先进入主函数
紧接着
加密的主要内容在函数sub_403B48里,从sub_403b48里继续找,找到sub_4038D2->sub_414350
在sub_403909里
总结
从源程序开始->两次shellcode调用->再然后进行关闭保护措施->开机自启动->杀掉其他进程->进行多次加密。不得不说 病毒作者也相当严谨。勒索病毒目前没有私钥便无解。
(PS:各个函数里边有很多的分析,没有过多的展示出来)