如何進行XiaoBa勒索病毒變種分析

概述

XiaoBa勒索病毒，是一種新型電腦病毒，是一款國產化程度極高的勒索病毒，主要以郵件，程式木馬，網頁掛馬的形式進行傳播。這種病毒會利用各種加密演算法對檔案進行加密，導致被感染者難以解密，只有透過取得解密的私鑰才可能成功破解。倒數200秒還不繳贖金，被加密的文件就會被全部銷毀。

以上說明摘自百度百科，但是我分析的這個XiaoBa變種並沒有以上行為特徵，不過它擁有很強的隱蔽性和感染性，並且具有文件加密，文件刪除和挖礦三項主要功能。

樣本分析

此樣本經過微步雲沙箱分析（相關連結請參考《參考連結》），確認為惡意樣本

##行為簡圖

權限調整

#樣本運行之後，先調整進程權限，確保自己有足夠的權限進行後續的操作 

                             

#路徑判斷：範例目錄並執行。如果在此路徑下，將會先進行一些修改系統設定相關的操作：

修改文件屬性

將檔案屬性設定為受保護的系統文件，需要在「資料夾和搜尋選項」中取消「隱藏受保護的作業系統檔案（建議）」選項才可看到

停用UAC

設定自啟動，創建捷徑

停用註冊表

#不顯示隱藏的檔案

停用資料夾和搜素選項

建立自啟動

刪除SafeBoot選項

磁碟遍歷

遍歷磁碟，在磁碟根目錄下創建autorun.inf文件，寫入如下數據，嘗試進行U盤感染，並且少不了的將此文件設定為隱藏

建立資料夾RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588，並將自身檔案拷貝進來重寫hosts檔案，重定向安全廠商網址

正題

最後創建線程，在線程函數中，XiaoBa會遍歷所有文件，查找擴展名為.exe，.com，.scr，.pif，.html，.htm，.gho ，.iso的文件， 針對不同的擴展名執行不同的操作.exe，.com，.scr，.pif

重寫這些文件，將自身文件寫入這些文件的開頭，後期如果再執行這些檔案的話，就會執行ZhuDongFangYu.exe

#.html，.htm

在這些檔案的末端加入挖礦腳本

#.gho，.iso

###對於這些文件，直接刪除################一個有意思的點是這個樣本的圖標是360殺毒的圖標，創建的資料夾名稱也是360，經過它重寫的可執行程式的圖示都換成了360的圖示…############

以上是如何進行XiaoBa勒索病毒變種分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！