GandCrab第一代勒索病毒首次出现于2018年1月,后面经历了五个大版本的更新迭代,该系列病毒特征是采用RSA+AES加密算法,从算法上分析解密难度较大,会将系统中的大部分文件加密为随机后缀名的文件,然后对用户进行勒索。本实验分析GandCrab最新的版本v5.2(2019年2月首次出现),病毒样本信息如下
| MD5 | b48f9c12805784546168757322a1b77d |
| SHA-256 | 3ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1 |
| 文件大小 | 93kb |
样本来源:安全沙箱网站https://s.threatbook.com/,搜索MD5码即可
步骤1 样本如下,解压后将样本命名为CandCrab.exe
步骤2 新建一个测试目录,里面放了各种类型的文件,包括图片、文本、文档、压缩包,且放一些空的文件
步骤3 运行病毒程序,然后再次打开test目录,可以看到除了空文件,所有文件文件都被加了后缀naeluc,无法打开,且说明该病毒不会加密空文件,因为空文件没有价值。
步骤4 把后缀去掉后文件也无法打开
步骤5 使用虚拟机的快照功能恢复初始状态,再运行病毒程序,发现结果一样,非空文件都被加了后缀,且跟刚刚后缀不一样,说明后缀是随机生成的
步骤6 在目录下还新生成了一个NAELUC-MANUAL.txt,打开该文档发现是一封勒索信,大致意思是所有文件、文档、照片、数据库和其他重要文件都经过加密,扩展名为naeloc,恢复文件的唯一方法是购买唯一的私钥。只有这样才能恢复文件,然后提供了购买私钥的链接。
步骤7 发现电脑桌面也被修改,且写着受害主机的用户名lyt,如下图
病毒行为总结:首次执行时,会生成勒索ID,遍历计算机所有文件,对非空文件进行加密,生成随机字符串后缀,并在同级目录下生成勒索信(-MANUAL.txt),并更换桌面壁纸为特定壁纸,会显示受害主机的用户名。
4900
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
