先上vt检测
很明显是个病毒
样本基本信息
沙箱检测
样本行为分析
1、注册表修改
4109b0里我们可以观察到,这里添加了注册表项,主要功能是禁用用户组和windefener
还在runonce里添加了项,即开机启动一次
2、关闭数据库服务
这里执行病毒内嵌的bat脚本,删除卷影,关闭机器上的数据库服务,以免加密相关文件失败。
3、对文件进行遍历
首先将可能空闲的卷进行挂载
加密磁盘种类小于等于4的
也就是除去rom和ram
排除sysvol、tsclient、vboxsvr下的共享文件,防止影响系统正常运行
4、加密文件
加密文件部分代码
5、清除日志
6、删除自身
在最后执行命令删除自身文件