GandCrab v5.2 勒索病毒分析

Posted whygo

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了GandCrab v5.2 勒索病毒分析相关的知识,希望对你有一定的参考价值。

样本分析

PE基本信息

样本信息

vw5.exe

MD5

b48f9c12805784546168757322a1b77d

SHA256

3ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1

文件大小

93.0kb

编译信息

vs2015

 

 

 

 

 

 

 

通过od查看,可以看出版本号为5.2

技术图片

该程序是由vs2015编译的32位可执行程序

 技术图片

病毒修改时间为2019-2-24

 技术图片

 

 

 

 

 

 

该程序未发现加壳信息

技术图片

 

 

 

 

 

 

 

 技术图片

 

 

 

 

 

 

 

执行流程简介

程序首次执行时,会获取本机所有信息,生成勒索ID,如果属于特定地区语言,就不对此电脑进行加密,否则会遍历计算机文件,对文件进行加密,并在同级目录下生成勒索信(-MANUAL.txt)并更换桌面壁纸为特定壁纸,勒索信内容如下:

技术图片

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

对样本分析

获取本机的信息

 技术图片

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 SBOX:

技术图片

 

 

 

 

 

 

 

 

 

 

 

 

 

使用以下语言,就不会对本电脑加密

 技术图片

 

 

 

 

 

 

 

 

 

 

 

0x419

俄语

0x422

乌克兰语

0x423

比利时语

0x428

塔克吉语

0x42B

亚美尼亚东部

0x42C

阿赛里语(拉丁文)

0x437

格鲁吉亚

0x43F

哈萨克语

0x440

吉尔吉斯西里尔文

0x442

土库曼语

0x443

乌兹别克语(拉丁文)

0x444

塔但语

0x818

罗马尼亚语

0x819

俄罗斯-摩尔多瓦

0x82c

阿赛里语(西里尔文)

0x843

乌兹别克(西尔里文)

0x45A

叙利亚语

0x2801

阿拉伯语(叙利亚)

 

 

 

 

 

 

 

 

 

 

 

 

创建互斥体

 技术图片

 技术图片

RC4加密算法函数

 技术图片

生成用户的公私钥函数

 技术图片

5做异或运算以后,再计算本机的base64,及RSA加密后的数据

 技术图片

 技术图片

 技术图片

对公钥的加密

 技术图片

创建勒索信,名字以-MANUAL.txt命名

 技术图片

会被加密文件的后缀名

 技术图片

 技术图片

勒索信信息

 技术图片

生成的勒索信不再加密

 技术图片

随机生成加密文件的后缀

 技术图片

病毒生成的桌面

 技术图片

 技术图片

 

 

 

以上是关于GandCrab v5.2 勒索病毒分析的主要内容,如果未能解决你的问题,请参考以下文章

GandCrab5.0.9样本详细分析

GANDCRAB V5.0.3/GANDCRAB V5.0.4/新后缀勒索病毒解密工具办法流程

GANDCRAB病毒oracle数据库恢复

GANDCRAB V5.0.5勒索病毒软件删除 文件数据恢复

GANDCRAB v5.0.4勒索病毒

GANDCRAB V5.1 新版本勒索病毒数据恢复方案