这篇文章主要分析一下Cryptoshield, 来自于RITEST RIG EK的一个勒索病毒。病毒样本可以从这里得到：

http://www.malware-traffic-analysis.net/2017/01/31/index2.html

此文我曾经发在自己的博客上，不过是英文版本，原文地址：

http://xdshao.com/2018/01/07/Malware-analysis-Cryptoshield/

首先，给病毒脱壳。在Ollydbg中打开病毒，调试设置处设置在每个新的dll处下断。按F9直到我们看到内存视图中出现了两个新的节。这个时候如果我们点击这两个节就会发现是PE格式的内容。猜测应该是payload，后面分析验证了这个猜测。

将这部分内容存储起来，然后在IDA中打开进行分析。

在最初，我们可以看到两个函数 sub_402A10 和sub_402980。

第一个函数获得了磁盘的序列号(serial number)。如果我们进入这个函数，我们可以发现他从’A’循环到’Z’，当它循环到’C’的时候，GetVolumeInformation 这个API成功获得了C盘的序列号并且跳出了循环。在我的虚拟机里面，’C’盘的序列号是EC4EBD1D。在第二个函数里面，它用了GetUserName这个API并且用用户名称来计算出一个数字。

分析一下大致的算法就是，把每个字母的ascii值乘以128然后加下一个字母，一直循环下去。所以我的用户名’sam’就得到了1CF0ED。

在此之后，我们看到两个API分别是CreateMutex和WaitForSingleObject。他们是用来保证不重复感染的。Mutex的名字就是我们先前那两个函数获得的数字链接在一起。

在函数sub_403180这个地方，它创建了一个文件C://Users/sam/AppData/Roaming/1FAAXB2.tmp 但是失败了。在此之后，是函数sub_4024D0。这是病毒用来永驻系统的。它复制了自身，并且通过设置注册表来达到这个目的。看下注册表的改变。

好了，我们继续。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课