rapiy勒索病毒分析

最新推荐文章于 2021-03-18 17:32:33 发布
最新推荐文章于 2021-03-18 17:32:33 发布
阅读量299 收藏
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhk124/article/details/113664370
版权

简介

一个勒索病毒 会把我们的文件重命名为rapiy后缀的文件和加密,用于勒索。

被感染系统及网络症状

                                                       文件都被加了后缀rapid

                                                                                   弹窗警告要钱(还有个弹窗有更多内容,没有截图)



详细分析

ida打开程序,在winmain中 在前边的部分有大量无关的信息。

继续往下看,我们可以看到一个shellcode常用的函数GlobalAlloc  


动态调试,运行到lpAddress后,将其dump下来 大小为401b8 。之后分析dump下来的内容

动态调试可以看到virtuallolloc的调用,猜测也是shellcode的相关调用。对起分配内存的地址下硬件访问断点,发现sub_978会访问该地址,因此判断sub_978是解密函数。动调完再dump一次。

  再来就是对最关键的shellcode的分析了

首先进入主函数


紧接着

加密的主要内容在函数sub_403B48里,从sub_403b48里继续找,找到sub_4038D2->sub_414350

在sub_403909里

 

总结

从源程序开始->两次shellcode调用->再然后进行关闭保护措施->开机自启动->杀掉其他进程->进行多次加密。不得不说 病毒作者也相当严谨。勒索病毒目前没有私钥便无解。

(PS:各个函数里边有很多的分析,没有过多的展示出来)

样本来源:https://www.52pojie.cn/thread-1320343-1-1.html

酸酸菜鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.Dragon4444勒索病毒处理成功方法
anlxss的博客
12-19 6436
在我们工作跟生活中,我们技术员,程序员,网管,都非常努力的工作,但还是免不了中招,看到文件都被解密了,工作无法正常运行,大部分是比较慌乱的,希望用最短的时间处理问题,病急乱投医的现象经常发生。所以当发现中招的时候,千万不要惊慌,从容应对!那具体该用什么行动来处理当前的问题? 经典案例: 上海市某科技公司工作人员周六监测时发现服务器财务系统的所有文件全都无法运行,并且每个文件后面都加了.dragon...
为什么那么人会中勒索病毒
baidu_38793638的博客
05-15 7333
为什么那么多人会中勒索病毒,之后如何避免类似的事情发生?
elf文件不能执行的原因
lhk124的博客
07-11 6011
1.网上有一堆 32位不能在64位环境下执行的解决办法 2.64位elf不能在64linux下执行的原因:权限不够 chmod 755 <filename> #提权
解决电脑频繁跳出 “已停止工作,出现了一个问题,导致程序停止正常工作,请关闭该程序“
asdfgh0077的博客
03-18 1万+
解决电脑频繁跳出 "已停止工作,出现了一个问题,导致程序停止正常工作,请关闭该程序"
中了勒索病毒要怎么办
热门推荐
Xerath的博客
05-16 2万+
下面是昨天肝了一夜研究的成果 首先, 不要做的事: 1.删那些生成的加密文件, 原因:那些确实是你的文件啊,万一以后有大佬把加密算法破解了呢,留着不亏. 2.不要将你的电脑再次接上内网, 原因:如果内网中连不了外网的话,会导致它连不上那个长长的网址,病毒就会再次扩散 3.不要动你的文件,包括,下载东西啊,复制啊,新建什么东西啊,装个软件啊什么的 原因:涉及到它的运行过程,它是先将你
anaconda更新库
lhk124的博客
02-02 356
勒索病毒尝试解决方法
灵感点滴的分享
05-16 7922
解决方案 该攻击涉及MS17-010漏洞,我们可以采用以下方案进行解决 漏洞名称: Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010) 包含如下CVE: CVE-2017-0143 严重 远程命令执行 CVE-2017-0144 严重 远程命令执行 CVE-2017-0145 严重 远程命令执行 CVE-2017-0146 严重 远程命令执行
勒索病毒当道的时代
naaer的博客
05-15 2010
本文首发于知乎日报,转载请注明出处 余弦,黑客也仅是一个符号 昨天的 WannaCry 勒索蠕虫席卷了全球,即使像我们这样游走在边界的人,也还是吓了一跳。 无数没打 MS-17010 补丁的 Win 电脑或服务器中招,尤其是不少学校、相关单位有各种大内网的,这一波就可能直接导致这些机构工作瘫痪... 全世界铺天盖地的,充斥着下面这个勒索病毒界面: 不用赘述这个过程,说一些这大半年来的
基于Springboot和Vue的网吧管理系统源码 网吧管理系统代码(91分期末优秀大作业)
07-24
网吧管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
电赛微电网模拟系统的设计,设计一个三相逆变电源
07-24
【电赛】说明:微电网模拟系统的设计,设计一个三相逆变电源 (A three - phase inverter power supply is designed for micro - grid simulation system) 文件列表: 2017国电赛A (0, 2018-03-28) 2017国电赛A\Backup of 3825控制电路 (29713, 2017-08-10) 2017国电赛A\Backup of ARM引脚 (9682, 2017-08-11) 2017国电赛A\Backup of Sheet1.Sch (172, 2017-08-09) 2017国电赛A\Backup of 交流采样检测电路 (19248, 2017-08-11) 2017国电赛A\Backup of 双极性SPWM驱动开关管电路 (22536, 2017-08-11) 2017国电赛A\Backup of 正双极性SPWM产生电路 (14752, 2017-08-09) 2017国电赛A\Backup of 正负信号反馈控制.Sch (16642, 2017-08-11) 2017国电赛
CliCli 动漫v1.0.2.9纯净版.apk
最新发布
07-25
CliCli 动漫v1.0.2.9纯净版.apk
基于Springboot和Vue的生鲜超市管理的设计与实现源码 生鲜超市管理的设计与实现代码(98分期末优秀大作业)
07-24
生鲜超市管理的设计与实现源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
docker-compose-linux-x86-64-v2.29.1.7z
07-24
Docker Compose 是一个用于定义和运行多容器Docker应用程序的命令行工具
基于ptyhon的企业编码管理(源码)
07-24
基于python的企业编码管理(源码) 基于python的企业编码管理(源码) 基于python的企业编码管理(源码) 基于python的企业编码管理(源码) 基于python的企业编码管理(源码) 基于python的企业编码管理(源码)
3.食品制造业发展历程.html
07-24
3.食品制造业发展历程
Unity平台跑酷游戏模型素材库
07-24
标题中的“Unity跑酷模型资源”表明这是一组与Unity3D游戏引擎相关的素材,特别适用于制作跑酷类的游戏。跑酷,又称城市疾走,是一种模拟人在城市环境中快速穿越障碍的动作,通常需要设计出一系列动态且连贯的角色动作和环境交互。 在描述中提到的“跑酷教程在:htps://blog.csdn.net/q764424567/article/details/78221190”,这是一个链接,指向了CSDN博客上的一篇详细教程,教用户如何使用这些模型资源来创建跑酷游戏。在学习这个教程时,用户可以了解到如何导入Unity3D的模型资源,设置动画,以及如何利用这些模型来构建游戏场景。 标签中的“Unity3D”是游戏开发领域广泛应用的跨平台游戏引擎,它支持2D和3D渲染,包含丰富的物理系统、脚本编辑器、动画工具等,使得开发者能够轻松创建各种类型的游戏。“跑酷”标签则直接对应了我们要使用的资源类型,即专为跑酷游戏设计的模型。“模型”标签暗示了提供的资源包括3D模型,这些模型可能是角色、环境物体或者其他游戏元素。 在压缩包子文件的文件名称列表中,我们有两个Unity包文件: 1. ParkourD
稿件管理系统(C++实践稿件管理系统)
07-24
【管理系统】说明:稿件管理系统,稿件管理系统,稿件管理系统,稿件管理系统,稿件管理系统 (gao jian guan li xitong) 文件列表: C++实践稿件管理系统 (0, 2015-10-27) C++实践稿件管理系统\41.aps (22636, 2014-10-31) C++实践稿件管理系统\41.clw (2252, 2015-06-18) C++实践稿件管理系统\41.cpp (2029, 2014-05-30) C++实践稿件管理系统\41.dsp (4087, 2014-05-30) C++实践稿件管理系统\41.dsw (512, 2014-05-30) C++实践稿件管理系统\41.h (1290, 2014-05-30) C++实践稿件管理系统\41.ncb (91136, 2015-06-18) C++实践稿件管理系统\41.opt (53760, 2015-06-18) C++实践稿件管理系统\41.plg (925, 2014-06-02) C++实践稿件管理系统\41.rc (7695, 2014-06-02) C++实践稿件管理系统\41Dlg.
c语言课程设计-产品管理系统.rar
07-24
基于C语言、C++、C#的课程\毕业设计,可供学习参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值