勒索病毒-特洛伊木马变种

最新推荐文章于 2023-10-31 14:53:55 发布
最新推荐文章于 2023-10-31 14:53:55 发布
阅读量1k 收藏
点赞数
文章标签: windows microsoft java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/130273412
版权

​一、病毒简介

文件名称:
457d9e4773f45954449ee5913d068fdbb3d8e5689019688e7bce901467e5473a
文件类型(Magic):
PE32 executable (GUI) Intel 80386, for MS Windows, UPX compressed
文件大小:
410.00KB
SHA256:
457d9e4773f45954449ee5913d068fdbb3d8e5689019688e7bce901467e5473a
SHA1:
eef83497e8aa02d644b7d071be81a678e1611aa6
MD5:
adfacb09ceb60e6410e014275145b5a9
CRC32:
5BA85BCD
SSDEEP:
6144:aR1d1ciOX8NFu7wOh06Y7/36SnEP9+xYzWVv/4oTQl+ds9qat4oCNGpLP/C7bIi:afd6iOMS7wOh0606j9iYz7fqAZp+E
ImpHash:
6adb831a5884f7e68176214cc4749075
Tags:
PE32,section_name_exception,encrypt_algorithm

二、环境准备

系统版本

win7x86

三、行为分析

在火绒里面添加信任区,然后打开火绒剑,开启监控:

 

简单做一下过滤:

 

首先看行为监控,有一个修改自启动项:

 

路径:“C:\Users\rkvir\AppData\Local\710d60a1-9877-43e7-a996-439fa0482755\病毒样本.exe”
这里是文件创建:

 

这里是网络链接发包收包操作:

 

 



接下来这一块基本属于目录遍历,在每个文件夹下面生成readme.txt:

 

接下来是把很多文件后缀名加上了.litar:

 

当然还有设置文件安全属性为不可修改:

 

readme内容:

ATTENTION!

Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
https://we.tl/t-514KtsAKtH
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.


To get this software you need write on our e-mail:
gorentos@bitmessage.ch

Reserve e-mail address to contact us:
varasto@firemail.cc

Our Telegram account:
@datarestore

Your personal ID:
109AJsd73yiu3hjdfgiagsMxds3LxpDLrrIrIVlqmVQ2P4y09QCIrzCYt1

一个勒索病毒。

四、静态分析

首先拖入PEID,有UPX壳,先脱:

 

esp定律,这里不再多说。脱壳后拖入PEID查看:

 

随后拖入IDA中,开始分析:

 

捣鼓了半天,没找到病毒代码,动态调试一下。

五、动态分析

可以看到我们病毒样本都被修改,加了后缀名切无法恢复:

 

恢复快照,OD附加,顺带打开火绒剑监控:

 

前面和IDA中对照分析就好,到GetCommandLineA()这个函数的时候获取的是病毒路径:

 

从这里分析开始:

 

发现这里是关键函数:

 

最低0.47元/天 解锁文章
极安御信安全研究院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
关于PE可执行文件的修改
小发猫
05-23 1849
windows 9x、NT、2000下,所有的可执行文件都是基于Microsoft设计的一种新的文件格式Portable Executable File Format(可移植的执行体),即PE格式。有一些时候,我们需要对这些可执行文件进行修改,下面文字试图详细的描述PE文件的格式及对PE格式文件的修改。1、PE文件框架构成DOS MZ headerDOS stub PE header Secti
实践八网络攻防作业
qq_48521772的博客
05-03 295
注册时需要发送的消息有三种,分别是口令,昵称和用户信息;任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。
【CTF reverse】逆向入门题解集合+逆向相关软件安装
hans774882968的博客
02-15 7253
下载安徽理工大学的ctf软件包:传送门。里面包含了不少软件,IDA、AndroidKiller、jd-gui等。 除此以外,还需要: PETools:查看exe基本信息,在GitHub上开源。 UPX.exe:exe加壳工具,也可以用来去UPX壳(但连变种的UPX壳都没法去~),在GitHub上开源。 JEB:参考h鶸的文章安装即可???? uncompyle6:把pyc转为python。pip install uncompyle6 Linux的file命令可以帮助我们分析一个未知文件的基本信息。 作者
64位编译c语言程序吗,GCC无法在64位编译C程序
weixin_29432421的博客
05-18 261
因此,真正的交易是,我在该网站的内部和外部进行了大量研究,没有找到可以帮助我的问题或解决方案。我正在学习C编码。这不是什么大问题,因为我对Python和C#(Unity)非常了解。事实是,我正在尝试使用Python做以前的应用程序,但是我遇到了一个问题:我正在Debian 8虚拟机(Oracle的Virtual Box)上编译程序,如下所示:gcc -lm -m64 -o file.exe fil...
安卓逆向实践7——乐固脱壳实战
Ray的博客
08-07 8594
待分析应用拖到Android killer中反编译: 可以看到是加了乐固壳的。查看lib目录下的so文件为libshella-2.8.so,后缀为a表示基于ARM平台,x代表x86平台,这里的版本是2.8.0版本的乐固壳。要分析如何脱壳,那么这个libshella-2.8.so就是分析的重点了。拖到IDA中静态分析,一开始就无法解析并且出现警告提示,这里老师上课讲过了,是对elf文件中的se...
从2023蓝帽杯0解题heapSpary入门堆喷
最新发布
ftiusadfnjew的博客
10-31 37
此题为2023年蓝帽杯初赛0解pwn题,比赛的时候是下午放出的,很难在赛点完成该题,算是比较高难度的题,他的题目核心思想确实和题目名字一样,堆喷,大量的随机化和滑板指令思想,在赛后一天后完成了攻破。此题,不是因为0解我才觉得他有意义,是因为他的堆喷思想和实际在工作中的二进制利用是很贴合的,确实第一次打这种题。
目前疯狂的勒索病毒专杀工具
01-16
专杀工具,全称为"特洛伊木马病毒专杀工具",是专门设计用于检测、阻止和清除特定类型恶意软件的软件。在面对勒索病毒时,专杀工具往往能够提供比传统杀毒软件更精确和高效的解决方案,因为它们专注于识别和处理特定...
特洛伊木马行为解析
特洛伊木马的概念和历史 特洛伊木马是一种恶意软件,通常以伪装成合法和有用程序的形式隐藏在计算机系统中。它得名于古希腊神话中的特洛伊战争,木马就是特洛伊战争中希腊人利用木马偷偷进攻特洛伊城的故事。 1.1...
计算机病毒与恶意软件 - 木马植入技术探讨
# 1. 计算机病毒和恶意软件简介 ...常见的计算机病毒和恶意软件类型包括但不限于:计算机病毒、蠕虫、木马、间谍软件、广告软件等。它们有各自的特点和传播方式,对计算机和网络的安全造成不同程度的威胁。 ## 1.
Intel80386
05-12
这是Intel80386的介绍
incaseformat蠕虫病毒样本分析
0leg的博客
01-15 2022
@[TOC]incaseformat蠕虫病毒样本分析 前言 2021年1月13日,incaseformat病毒在全网集中爆发,中毒用户C盘以外所有文件被删除。该病毒会格式化系统盘外的分区及删除数据,感染后会通过U盘进行传播,传播性强,隐蔽性高,危害性大。 安全工程师在该事件首次报告的逆向分析中,推测病毒程序制作存在错误,导致其爆发时间推迟到今年1月13日。而同行厂商也在后续报告中表明一致观点。但是,通过火绒威胁情报系统以及样本分析,工程师再次对病毒深度溯源发现,该病毒蛰伏至今才爆发,或为攻击者的精心策划。
linux uefi无法启动文件,解决UEFI安装无法启动的问题
weixin_33837884的博客
04-29 2968
前言我们产品是支持UEFI安装的,在很多款机器上都正常的安装。今日在浪潮服务器和技嘉服务器上都遇到一次,可以安装,但是无法正常启动。所以我们必须要解决此问题,来支持更多的硬件。基础知识EFI的全称是,Extensible Firmware Interface , UEFI是Unified EFI。我们以安装好的Linux系统为例,如何查看我们机器使用的是UEFI还是Legacy呢?答案是查看如下文...
【reverse】buu-[Zer0pts2020]easy_strcmp——main函数的启动过程+IDA动态调试ELF
hhhhhggghbhh的博客
12-09 187
一种hook,很有趣。
Reversing.kr 全解记录
BadRer的博客
08-28 2754
前言 此篇文章记录了我对Reversing.kr网站的解题过程,有的直接看的wp,有的自己复现了一遍。 先开个头,后续会慢慢补充。 题解 0x0 Easy_CrackMe Ea5yR3versing 0x1 Easy_KeygenMe K3yg3nm3 0x2 Easy_UnpackMe 00401150 0x3 Music_Player LIstenCare 这几题比...
Linux下开发Windows平台运行的程序 - MinGW
木马屠城
05-31 3971
开源不乏神人,于是有了MinGW(Minimalist GNU for Windows),又称mingw32,是将GCC编译器和GNU Binutils一直到Win32平台下,包含一系列头文件、库和可执行文件。另有mingw64,可产生64位Windows可执行文件的GNU交叉编译器。然后很多开发者不习惯Windows下的开发环境,还是坚持Linux,就有了Linux平台的交叉编译器,MinGW-
windows PE文件结构及其加载机制
热门推荐
liuyez123的博客
04-29 2万+
1. 概述PE文件的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件(可能是间接被执行,如DLL)。它是1993年Windows NT系统引入的新可执行文件格式,到现在已经经过20多年了。虽然使用PE作为可执行文件格式的Windows操作系统已经更换了很多版本,其结构的变
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值