GandCrabV2.0病毒分析记录

最新推荐文章于 2024-01-30 09:42:47 发布
最新推荐文章于 2024-01-30 09:42:47 发布
阅读量972 收藏 3
点赞数 1
分类专栏: 病毒分析 文章标签: 勒索病毒 GandCrab2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/useror/article/details/89710752
版权

分析环境

吾爱破解虚拟机(XP系统) IDA 6.8 火绒剑

样本来源

https://www.52pojie.cn/thread-712552-1-1.html

病毒文件信息

文件: C:\Documents and Settings\Administrator\桌面\GandCrabV2.0 样本 IDB\GandCrabV2.0 样本+IDB\hmieuy.exe
大小: 315912 bytes
修改时间: 2018年3月11日 星期日, 13:28:31
MD5: F42774332FB637650FF0E524CE1B1685
SHA1: 0012363A8A6EFDD93FBD4624EE5E8DDF1F7BE8D5
CRC32: 9732F21C

行为概览

在这里插入图片描述

查壳信息

exeinfo在这里插入图片描述
样本无壳,通过链接器版本以及提示判断开发环境为VS2010 C++编写。

火绒剑动态运行分析记录

1.执行监控

在这里插入图片描述
病毒载入运行运行所需的dll 不断打开nslookup.exe进程(此进程用于查询 Internet域名信息或诊断DNS 服务器问题,获取被感染主机的公网IP信息),

文件与行为监控

在这里插入图片描述
在这里插入图片描述
 病毒在C:\Documents and Settings\Administrator\Application Data\Microsoft\路径下创建iqvwlz.exePE文件,从文件的MD5与sha1值对比,可以推断初始的样本是一层包装。
在这里插入图片描述
调用系统RSA加密库 加密算法大概率是RSA。

注册表监控在这里插入图片描述

在这里插入图片描述
注册表除大量获取键值外,在HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\RunOnce路径下设置键值 用于所创建的iqvwlz.exe文件实现自启动。

网络监控 在这里插入图片描述

网络行为主要是连接66.171.248.178:80,获取本机IP信息,nslookup.exe不断重连0.0.0.0:53初步判断可能是没有连接到C&C地址 不断进行重连尝试。

动态行为监控小结:病毒程序运行后在C:\Documents and Settings\Administrator\Application Data\Microsoft\目录下创建e

最低0.47元/天 解锁文章
useror
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
GandCrab V2.0 详细分析
yan_star的博客
04-12 1640
GandCrab V2.0 详细分析说明:一、前言:二、行为概述:样本信息:样本来源:VirusTotal:三、病毒分析环境及工具:四、基础病毒分析:查壳:使用IDA与Resource Hack进行基础静态分析:使用火绒剑进行基础动态分析:五、详细病毒分析:解密shellcode分析:Shellcode分析:PE2.dll分析:初始化部分:网络部分:加密部分:GandCrab V2.0 行为流程总...
GandCrab v2.0 勒索病毒分析
weixin_41487541的博客
04-06 705
1. 原始样本分析 首先对原本样本hmieuy.exe查壳,没有发现壳。 再使用pe工具查看原始样本: 发现EnumResourceNamesA、FindFirstFIleA、MoveFileW、GetProcAddress等函数,同时原本资源节中还含有内容;初步猜测样本可能会搜索资源节中数据并进行某种操作。 1.1 代码分析 IDA打开原始样本hmieuy.exe分析,在wWinMain函数函数入口发现代码混淆: 寻找关键点,发现分配堆空间函数GlobalAlloc函数的调用,
应急响应-勒索病毒概述
最新发布
qq_50765147的博客
01-30 1147
勒索病毒是伴随数字货币兴起的一种新型病毒木马,机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且受害者无法读取原本正常的文件,从而造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件。绝大多数勒索病毒均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。攻击者正是通过这样的行为向受害者勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
kali系统——网络安全v6笔记总结(五)
weixin_34128534的博客
04-22 145
勒索病毒——GandCrad于2018年1月面世,在短短几个月经历三次快速迭代,现有GandCrad v1、GandCrad v2、GandCrad v3三个版本。GandCrad v3使用CVE——2017——8570漏洞进行传播,漏洞触发后会释放诱饵文档。与以往版本相比v3版没有直接指明赎金金额,而是要求用户使用Tor网络或者Jabler即时通讯软件获得。一旦感染勒索病毒数据就会被加密。在每个...
GandCrab勒索病毒
weixin_44722125的博客
06-07 1236
RDP暴力破解 RDP(Remote Desktop Protocol)称为“远程桌面登录协议”,即当某台计算机开启了远程桌面连接功能后(在windows系统中这个功能是默认打开的),我们就可以在网络的另一端控制这台机器了。通过远程桌面功能,我们可以实时地操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。 RDP攻击就是利用RDP功能登录到远程机器上,把该远程机器作为“肉鸡”,在上面种植木马、偷窃信息、发起DDOS攻击等行为。要实现将远程机器作为RDP肉鸡,必须知道远程机
GandCrab v5.0.x 那些事儿——行为分析、免疫与救援须知
11-29
GandCrab v5.0.x 那些事儿——行为分析、免疫与救援须知
变种GandCrab样本分析
Cosmopolitan的博客
09-03 272
原样本在公司,这里分析的是过了混淆之后的dump文件: list一下字符串: 基本确定是GandCrab的变种了,详细分析一下它的模块 ghidra有很多进程没有识别出来,但是很明显这是结束关键进程的,以免文件被占用不能加密。 跟踪这个函数,发现只有一次调用,那就好办了: 跟踪那个函数,可以发现这里是遍历磁盘,跟进线程的回调函数: 进入遍历磁盘函数,先在桌面创建一个Decrypt.txt文...
别再回来了!GandCrab勒索软件最终版本解密工具降世
blackorbird的博客
06-17 971
6月17日,对于最丰富的勒索家族GandCrab的最新版本的新解密工具已经免费发布在www.nomoreransom.org (一个收集最全的勒索软件解密工具的网站)ht...
比特梵德再次发布GandCrab勒索软件免费解密工具
weixin_34281477的博客
10-29 200
对于GandCrab勒索软件的受害者来说,这应该是一个好消息。罗马尼亚反病毒软件公司比特梵德(Bitdefender)已经与欧洲刑警组织、美国联邦调查局、罗马尼亚警方以及其他国家(保加利亚、法国、匈牙利、意大利、波兰、荷兰、英国和美国)的执法机构一起开发出了一款针对该勒索软件的免费解密工具。“好消息是,现在你可以不用向网络罪犯分子支付任何一分钱就能够取回数据,因为比特梵德已经...
GandCrab V5.1勒索病毒解密删除+尝试和恢复数据,随机字母文件后缀
weixin_34358365的博客
02-17 1133
文章解释了什么是GANDCRAB 5.1勒索软件病毒以及受害者如何在不损坏加密文件的情况下将其从计算机中删除。GANDCRAB 5.1勒索软件与该病毒的其他版本类似,该恶意软件旨在加密文件,然后将其作为人质,以换取赎金支付。该病毒的主要目的是让受害者支付DASH或BitCoin加密货币,以便让他们的文件再次工作,甚至免费提供1个文件解密。如果您的PC感染了GANDCRAB 5...
GandCrab解密工具下载
Websec
02-20 729
老外解密工具下载地址: https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
GandCrab勒索病毒就此销声匿迹了吗?
systemino的博客
11-06 763
GandCrab勒索病毒是一种广泛使用的加密病毒,自2018年1月以来一直活跃在攻击第一线,目前恶意软件已经出现多种攻击性变种,包括 .GDCB,.KRAB,.CRAB,GandCrab 2,GandCrab 3,GandCrab 4,GandCrab v4.1,GanCrab v4.1.2和GanCrab v5(包括GandCrab 5.0.1,GandCrab 5.0.2,GandCrab 5...
GandCrab5.0.9样本详细分析
weixin_34384557的博客
02-26 268
☣前言: WannaCry利用永恒之蓝漏洞爆发以后,病毒安全的前沿对抗最频繁种类则是勒索病毒了,17年初或者更早就有人捕获了GandCrab家族的勒索病毒,直到18年已经更新迭代到了5.0版本,18年进入尾声的时候,安全研究人员发现了GandCrab勒索病毒的V5.1最新版变种。 对于勒索个人看法:当第一次听说勒索病毒的时候,就感觉一定是无法抗拒的利益驱动,才会让某一群人去迭代、维护、研发勒索病毒...
对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)
redwand的博客
03-20 1463
正月十五晚上,在家刚吃完元宵接到电话,朋友公司遭受勒索病毒攻击,数据库文件被加密,黑客通过暗网勒索 15000 美金赎金。一听勒索软件,顿时觉得头大,只好死马当活马医了,开始行动。先看下病毒在每个目录留下的 txt 文件 CVMKJ-DECRYPT.txt。 可以看到该病毒的名称及版本,GandCrab v5.1,一顿百度,了解到,之前已经有某安全厂商对此病毒进行了一系列分析,直接拿来主义...
Gandcrab 5.2分析
ndscibahs的博客
06-01 883
今天分析的是GrandCrab 5.2勒索病毒,虽然已经有人分析过了,但是抱着学习的态度,自己还是来分析一遍。 一、样本详情 PE: packer: UPX(3.95)[NRV,best] PE: compiler: Microsoft Visual C/C++(2008)[-] PE: linker: Microsoft Linker(9.0)[EXE32] 二、行为分析 遍历目录创建勒索信,加密文件,删除卷影卷轴还原点。 后缀被改成 .khxrp 三、详细分析 外层loader分析 接着申请内存空
GandCrab4.0勒索病毒解密工具
摔不死的笨鸟的博客
09-21 1314
GandCrab介绍 GandCrab是由一个十分猖狂的团队研发的勒索软件病毒,2018年开始活跃,一年内勒索了将近20亿美元。2019年可谓臭名远扬的勒索软件之王:GandCrab背后的运营团队在俄语论坛中发表官方声明称,GandCrab勒索病毒将停止更新。 为什么停止更新了呢?答案竟是,钱赚够了。然而这么猖狂的犯罪团伙,至今都没有被找到幕后团伙是谁。这就是GandCrab勒索软件的神奇传说。 今天分享就分析个去年写的GandCrab v4.0工具。 GandCrab勒索软件分析 白名单目录: \Pr
驱动关闭进程
qq_41071646的博客
10-28 917
#include <ntifs.h> NTSTATUS ZwQuerySystemInformation( ULONG SystemClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG RetLength ); typedef struct _SYSTEM_THREADS { LARG...
病毒分析复现记录及经验总结
黑夜黎明
05-07 406
昨天接到的任务,一个链接:https://mp.weixin.qq.com/s/ayfw8tWjBe3UOaDcAMrVgw 通过MD5检索相关信息,大概了解了GandCrab勒索病毒家族的概念,目前已经更新到V5.3 之前的时候有接触过V5.2的样本,双重RSA加密的思路实在无解,只有一个私钥落在了注册表,然后客户重装了电脑,直接懵逼。无解~ 早上通读了2遍病毒分析,整体感觉就是看雪的帖子很大程...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值