研讨剖析GandCrab讹诈软件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

研讨剖析GandCrab讹诈软件

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件  

在曩昔的三天里,LMNTRIX Labs一直在追踪GandCrab讹诈软件,该样本经由过程RIG破绽流传。我们剖析的样本为:5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011,文件巨细129KB。

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件  

沾染

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件
1Ransom_GANDCRAB 检测

文件版本和资本以下所示:

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件  

2:资本——文件图标

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件  

3:讹诈软件样本版本信息

加密
在调试器中加载样本以进一步研讨歹意软件的行动:

00401424|。FF15 54F04000 CALL DWORD PTR DS:[<&KERNEL32.GlobalAlloc>];\GlobalAlloc

GlobalAlloc函数用于内存治理,重要用于解密或解码文件中的代码。

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件
4:解码函数

遍历上面快照中凸起显现的子历程:Address4011F1。实行一切的指令,抵达以下地位:

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件
5:跳到解密代码

进一步调试代码以后,我们发明这个文件包罗了一些反调试技能:

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件  

上面的代码都紧紧围绕反调试。我们还在代码中看到多个与收集相干的部件:

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

这些指令有挑选性地挪用收集连接函数。在剖析过程当中,我们观察到歹意软件联络以下域名:

ipv4bot.whatismyipaddress.com ——用来检测收集的IP地点

a.dnspod.com ——我们确认其在Virustotal的Fortinet AV中标记为歹意软件。

注册表项和文件建立
父文件的正本开释在 %appdata%\Microsoft t文件夹中,文件名随机。

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件

并在建立的注册表项中定位相反的文件: 

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件

为找到文件名和注册表键值的随机性,我们在实行文件之前规复了清洁状况。 运用<random name.exe>建立正本文件。 Runonce键的值也是随机天生的。 上面是一个例子: 

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件

随机值:

研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件

在%appdata%文件夹中,歹意软件将开释名为GDCB-DECRYPT.txt的文本文件。这包罗歹意软件的赎金条子,指导用户下载Tor浏览器后购置私钥: 


研讨剖析GandCrab讹诈软件 研讨剖析GandCrab讹诈软件  

6GDGB-DECRYPT.txt

IOC

文件哈希:
SHA 256: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011
歹意域名:
a.dnspod.com
TOR 链接:
hxxp://gdcbghvjyqy7jclk.onion.top/259a4fdc3766943
hxxp:// gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
hxxp://gdcbghvjyqy7jclk.onion.guide/259a4fdc3766943

讹诈软件增加的文件扩展名:
.GDCB
注册表:
键: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE”  
值: “Random value name on each execution”

物理地位:

%appdata% \Microsoft文件夹中,文件名随机

结论
发起用户运用IOC详细信息设置警报以防备沾染。别的,用户在收到不明用户的附件时应时候郑重。

本文翻译自:https://www.lmntrix.com/Lab/MobileLab_info.php?id=94如若转载,请说明原文地点: http://www.4hou.com/technology/10271.html———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明研讨剖析GandCrab讹诈软件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址