首頁 >運維 >安全 >如何進行XiaoBa勒索病毒變種分析

如何進行XiaoBa勒索病毒變種分析

WBOY
WBOY轉載
2023-05-26 19:14:461560瀏覽

概述

XiaoBa勒索病毒,是一種新型電腦病毒,是一款國產化程度極高的勒索病毒,主要以郵件,程式木馬,網頁掛馬的形式進行傳播。這種病毒會利用各種加密演算法對檔案進行加密,導致被感染者難以解密,只有透過取得解密的私鑰才可能成功破解。倒數200秒還不繳贖金,被加密的文件就會被全部銷毀。

以上說明摘自百度百科,但是我分析的這個XiaoBa變種並沒有以上行為特徵,不過它擁有很強的隱蔽性和感染性,並且具有文件加密,文件刪除和挖礦三項主要功能。

樣本分析

此樣本經過微步雲沙箱分析(相關連結請參考《參考連結》),確認為惡意樣本

如何進行XiaoBa勒索病毒變種分析


如何進行XiaoBa勒索病毒變種分析

##行為簡圖如何進行XiaoBa勒索病毒變種分析

權限調整

#樣本運行之後,先調整進程權限,確保自己有足夠的權限進行後續的操作 

                             

如何進行XiaoBa勒索病毒變種分析

#路徑判斷:範例目錄並執行。如果在此路徑下,將會先進行一些修改系統設定相關的操作:

修改文件屬性

如何進行XiaoBa勒索病毒變種分析將檔案屬性設定為受保護的系統文件,需要在「資料夾和搜尋選項」中取消「隱藏受保護的作業系統檔案(建議)」選項才可看到

停用UAC

如何進行XiaoBa勒索病毒變種分析

設定自啟動,創建捷徑

如何進行XiaoBa勒索病毒變種分析

停用註冊表

如何進行XiaoBa勒索病毒變種分析

#不顯示隱藏的檔案

如何進行XiaoBa勒索病毒變種分析

停用資料夾和搜素選項

如何進行XiaoBa勒索病毒變種分析

建立自啟動

刪除SafeBoot選項

磁碟遍歷

遍歷磁碟,在磁碟根目錄下創建autorun.inf文件,寫入如下數據,嘗試進行U盤感染,並且少不了的將此文件設定為隱藏如何進行XiaoBa勒索病毒變種分析

建立資料夾RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,並將自身檔案拷貝進來重寫hosts檔案,重定向安全廠商網址

正題

最後創建線程,在線程函數中,XiaoBa會遍歷所有文件,查找擴展名為.exe,.com,.scr,.pif,.html,.htm,.gho ,.iso的文件, 針對不同的擴展名執行不同的操作.exe,.com,.scr,.pif

重寫這些文件,將自身文件寫入這些文件的開頭,後期如果再執行這些檔案的話,就會執行ZhuDongFangYu.exe

如何進行XiaoBa勒索病毒變種分析

#.html,.htm

在這些檔案的末端加入挖礦腳本

如何進行XiaoBa勒索病毒變種分析#.gho,.iso

###對於這些文件,直接刪除################一個有意思的點是這個樣本的圖標是360殺毒的圖標,創建的資料夾名稱也是360,經過它重寫的可執行程式的圖示都換成了360的圖示…############

以上是如何進行XiaoBa勒索病毒變種分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:yisu.com。如有侵權,請聯絡admin@php.cn刪除