GandCrab v5.2 勒索病毒分析
Posted whygo
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了GandCrab v5.2 勒索病毒分析相关的知识,希望对你有一定的参考价值。
样本分析
PE基本信息
样本信息 |
vw5.exe |
MD5 |
b48f9c12805784546168757322a1b77d |
SHA256 |
3ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1 |
文件大小 |
93.0kb |
编译信息 |
vs2015 |
通过od查看,可以看出版本号为5.2
该程序是由vs2015编译的32位可执行程序
病毒修改时间为2019-2-24
该程序未发现加壳信息
执行流程简介
程序首次执行时,会获取本机所有信息,生成勒索ID,如果属于特定地区语言,就不对此电脑进行加密,否则会遍历计算机文件,对文件进行加密,并在同级目录下生成勒索信(-MANUAL.txt)并更换桌面壁纸为特定壁纸,勒索信内容如下:
对样本分析
获取本机的信息
SBOX:
使用以下语言,就不会对本电脑加密
0x419 |
俄语 |
0x422 |
乌克兰语 |
0x423 |
比利时语 |
0x428 |
塔克吉语 |
0x42B |
亚美尼亚东部 |
0x42C |
阿赛里语(拉丁文) |
0x437 |
格鲁吉亚 |
0x43F |
哈萨克语 |
0x440 |
吉尔吉斯西里尔文 |
0x442 |
土库曼语 |
0x443 |
乌兹别克语(拉丁文) |
0x444 |
塔但语 |
0x818 |
罗马尼亚语 |
0x819 |
俄罗斯-摩尔多瓦 |
0x82c |
阿赛里语(西里尔文) |
0x843 |
乌兹别克(西尔里文) |
0x45A |
叙利亚语 |
0x2801 |
阿拉伯语(叙利亚) |
创建互斥体
RC4加密算法函数
生成用户的公私钥函数
与5做异或运算以后,再计算本机的base64,及RSA加密后的数据
对公钥的加密
创建勒索信,名字以-MANUAL.txt命名
会被加密文件的后缀名
勒索信信息
生成的勒索信不再加密
随机生成加密文件的后缀
病毒生成的桌面
以上是关于GandCrab v5.2 勒索病毒分析的主要内容,如果未能解决你的问题,请参考以下文章
GANDCRAB V5.0.3/GANDCRAB V5.0.4/新后缀勒索病毒解密工具办法流程