-
-
[原创]简单分析FRS勒索病毒
-
2020-7-31 00:36
8424
-
这个病毒是偶然逛论坛发现的,其实病毒本身原理是比较简单的,也比较有趣,所以简单分析学习了一下。
病毒样本及分析报告:链接
一、病毒执行后效果:
1、文件加密
2、显示提示
3、弹出解密软件界面(注明:这个程序在关闭后会马上打开)
二:行为分析
进程树:
进程树我没有截取完,但是该程序创建了许多进程,其中以cmd.exe 和PING.exe为主,通过进程树可以得到以下信息:
1、样本会调用系统命令实现指定功能
2、样本会创建其他文件并且执行
3、样本会非法修改文件属性
相关行为
注册表行为
- 获取浏览器缓存信息
文件行为
- 文件创建
- 向文件写入数据
- 设置文件属性
进程行为
- 调用cmd.exe
根据上面的初步分析,大致可以得出这个样本许多功能可能是由bat 文件实现的,当然这只是猜测,具体的还要分析两个bat 文件。我这里先对样本文件本身进行分析,根据上面的分析,样本文件至少具有文件创建、文件写入、进程创建这些功能,当然还是具体分析一下
三、动态调试分析
样本基本信息
样本被加MPRESS v2.12的壳,这个壳比较简单,可以使用ESP定律法脱掉,这里就不描述了
OD打开脱壳后的样本(FRS.exe)进行调试
OD加载FRS_Decryptor.exe
- 创建bat 文件并写入数据
- 设置文件属性
- 创建进程,执行bat文件
- 删除文件
通过上述对exe 文件的简单分析,暂时没发现其他的什么功能(这里只是简单分析了一下,对于里面可能涉及的算法或其他功能没做分析)
分析bat 文件
由上述描述大致可以知道,样本会创建两个关键bat 文件,一个大小为2.60KB,另一个为7.48KB(注明:这些文件在创建的时候,名称是随机生成的,所以每次名称可能会不一样)
bat 文件1:
该bat 文件内命令主要分为4个部分
- 第一个部分
这里主要是判断指定文件是否存在,存在则跳转到第三部分,否则跳转到第二部分
- 第二部分
这里是该样本的加密方式,是将文件后缀统一修改为.FRS, 并且将everyone 用户访问权限删除,使用户无法自行修改
- 第三部分
这里是将生成的文件复制到指定文件夹下,并且执行,执行完成后创建临时文件,作为加密完成的标志
- 第四部分
这一部分是实现解密软件关闭后自动打开的功能
bat 文件2:
这个文件主要就是解密的界面和解密方式,即以下界面:
然后这个文件里面有两个比较有意思的地方,第一个是在免费解密的那个页面,阅读命令会发现那里其实存在解密的命令的,当然,熟悉Windows 批处理的大佬通过前面的加密原理,也就不难解密了。
第二个有意思的地方是里面写了用于解密的密钥
总结:这个病毒分析感觉难度不大,适合像我这种萌新,而且盲猜应该是用于“娱乐”使用吧。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界