2022年3月一位乌克兰研究人员把Conti勒索软件源代码泄露在Twitter上,本篇针对Conti的技术细节利用进行分析。
参数
Conti勒索软件v3版本的参数调用如下:
参数 | 功能 |
---|---|
-p | 指定加密路径 |
-m | Local all net backups四种选项 |
-log | 开启日志 |
-size | 加密文件百分比大小 |
-pids | 白名单进程ID |
-prockiller | Prockiller enabled |
程序在不指定参数的情况下设置有默认值。默认使用扩展名.EXTEN,全部加密模式,加密大小g_EncryptSize是指加密文件大小的百分比,默认为50%。
静态免杀
在32位系统中通过FS寄存器获取到PEB地址后,通过遍历内核结构体的链表并比较哈希值获取kernel32.dll的基地址。
遍历kernel32.dll等系统模块的导出表名字并计算MurmurHash2A 哈希,通过查询嵌入在二进制