首页
社区
课程
招聘
[原创] WannaDie 勒索病毒 详细分析
发表于: 2018-1-12 15:33 11103

[原创] WannaDie 勒索病毒 详细分析

2018-1-12 15:33
11103

目录

0x01 程序信息

0x02 程序行为

0x03 分析思路

0x04 初始工作

0x05 病毒母体分析

0x06 病毒子体分析

0x07 分析解密部分

0x08 核心加密代码分析

0x09 进程检测函数分析

病毒名: lantern installer.exe

Size: 4,272,640 字节

壳: UPX 0.89.6 - 1.02 / 1.05 - 2.90

编写语言: 易语言

[MD5] 7C72C7DADDF61B98804CBA0C5EDA4669

[SHA256] F17E7BBFC5B003672C872BD5B4FE2BD4B15CAA1E91045FE40D2FA2DFBA607837

(1) 隐藏自身

(2) 释放病毒子体

(3) 关闭UAC

(4) 注册开机启动项

(5) 进程检测

(6) 删除卷影副本

(7) 发送邮件

(1) 查看是否加壳.

(2) 观察病毒运行起来之后做了一些什么.

(3) 用火绒剑载入运行, 检测一些敏感行为.

(1) PEID载入, 发现了UPX 壳, 用ESP定律轻松脱掉.



(2) 根据一下特征分析得出这是一个易语言程序.

易语言的标准图标


易语言的跳转表



(3) 在虚拟机中运行程序, 取得一些程序特征.

  (1) 自我隐藏

  (2) 打不开任务管理器

  (3) 桌面背景被换

  (4) 各个盘根目录都有勒索图片

  (5) 文件被加密后大小不变 <最重要的特征, 以此可以判断使用了流加密算法>

  (6) 写了开机启动项.

(4) 运行截图



(5) 拿到一些基础的特征, 就可以开始逆向分析了.


(1) 病毒母体最主要的功能就是把病毒子体释放到系统临时目录,并执行.

(2) 其余的功能就是病毒子体的前5步一样了, 为了篇幅不太臃肿, 就省略了.



(1) 通过易语言的特征码:FF 55 FC 5F 5E 89 5D F4 下断点,

     这里会处理main函数, 按钮事件, 时钟 … 等各种事件.


(2) 下好断点之后, 运行, 就会断到此处, 按F7即可找到main函数, 继续往下分析即可.




(3) 创建Event, 用来防多开



(4) 提升进程权限



(5) 提升自身进程优先级



6) 写注册表破坏UAC,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA

写入值: <0>



(7) 修改开机启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WannaDie

写入值:“<C:\Users\AYZRxx\AppData\Local\Temp\dump_daughter_.exe”>



(8) 禁用注册表工具, 写注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disableregistrytools

写入值: <1>



(9) 禁用任务管理器, 写注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

写入值: <1>



(10) 设置自身文件属性为<隐藏|系统|只读|存档>



(11) 删除卷影副本, 执行CMD命令: "cmd /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatu"




(12) 生成随机序列号, 这些序列号只是用来辨别中毒机器的, 并不是真正的解密Key.



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-7-15 09:14 被AYZRxx编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (22)
雪    币: 75
活跃值: (105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
原来我也能占个沙发      楼主这图全部都裂了是什么情况
2018-1-12 15:45
0
雪    币: 3395
活跃值: (900)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
3
已经把图修复了,  我一个一个图片传的,  字节从word上复制有问题,  不清晰
2018-1-12 16:12
0
雪    币: 2697
活跃值: (389)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
请教下od那里怎么改的~~api能显示中文备注
2018-1-12 16:58
0
雪    币: 89
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
同请教下od那里怎么改的~~api能显示中文备注
2018-1-12 17:34
0
雪    币: 3395
活跃值: (900)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
6
对地址用  shift  +  :  就可以了,  就是打标签
2018-1-12 18:22
0
雪    币: 355
活跃值: (276)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
7
感谢分享  支持下
2018-1-12 22:16
0
雪    币: 2697
活跃值: (389)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
暗夜之刃 对地址用 shift + : 就可以了, 就是打标签
一个个手动改吗。。。。。
2018-1-13 15:48
0
雪    币: 81
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
分析得还不错
2018-1-16 09:55
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
报告的核心思想是:  看图说话!
2018-1-16 11:27
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
2018-1-16 15:00
0
雪    币: 171
活跃值: (519)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
哥们,给个hash值上来吧。
2018-1-17 10:17
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
13
看到“第三方支持库”,还以为是哪个易语言大手子又出名了
2018-1-17 11:15
0
雪    币: 3395
活跃值: (900)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
14
分析文件和样本链接:  https://pan.baidu.com/s/1o956On4  密码:  ajxd
2018-1-17 15:04
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
15
调戏作者1:https://www.zhihu.com/question/264331588/answer/282786152
调戏作者2:https://bbs.ichunqiu.com/thread-29386-1-1.html?from=zh
2018-1-17 15:40
0
雪    币: 2337
活跃值: (3059)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
16
回帖拿钱去发帖,  支持666
2018-1-17 18:34
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
老铁,很给力
2018-1-17 21:54
0
雪    币: 441
活跃值: (1853)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
是不是用了我的E  Killer插件啊。名字很像。
2018-1-19 17:06
0
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
2018-1-19 22:56
0
雪    币: 8387
活跃值: (4961)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
20
很详细  学到知识了
2018-1-20 00:58
0
雪    币: 16506
活跃值: (6392)
能力值: ( LV13,RANK:923 )
在线值:
发帖
回帖
粉丝
21
2018-1-20 01:53
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
Mrack 是不是用了我的E Killer插件啊。名字很像。
大佬,求你的e  killer插件啊。吾爱上的链接失效了
2018-2-11 18:18
0
雪    币: 498
活跃值: (2319)
能力值: ( LV12,RANK:356 )
在线值:
发帖
回帖
粉丝
23
大佬,你原始文件密码是啥啊???一直不对
2018-3-20 14:19
0
游客
登录 | 注册 方可回帖
返回
//