[原创]Conti勒索软件分析

发表于: 2022-3-20 18:06 15955

[原创]Conti勒索软件分析

寒江独钓_

活跃值

2022-3-20 18:06

15955

前言

此样本收集自网络，旨在通过逆向分析研究勒索软件的行为特点，样本在附件中，感兴趣的可以自行下载分析，但由此造成的一切损失与本人无关，由下载者自行承担由此出现的一切后果。

Conti勒索组织(又名勒索病毒 IOCP)，Conti出现于2019年，是一个非常活跃的勒索团伙，本次分析的样本就出自该团伙之手。

一、样本基本信息

图片描述

导入表显然有鬼，怎么可能只有这么点东西
图片描述
资源中发现勒索信息

二、IDA和OD结合分析

2.1 通过定位WinMain函数，发现样本先是调用sub_401000获取了大量关键函数，然后创建互斥体防止勒索病毒重复运行，接着获取资源中的勒索信息。

图片描述
sub_401000函数内部
病毒对动态链接库以及WindowsAPI进行了加密，严重干扰分析

使用GetProcAddress和LoadLibrary获取指定函数地址（一些病毒的常规操作）,达到隐形调用API的目的，这也是在导入表中看到只有那么点信息的原因
图片描述

我们来通过OD动态调试进行验证
解密动态链接库
图片描述
解密API字符串

通过LoadLibrary和GetProcAddress获取关键函数

2.2 通过删除系统卷影副本以及关闭大量影响文件加密的服务和进程为接下来顺利加密文件做准备

图片描述
删除全部卷影副本

禁用影响勒索病毒加密文件的服务

关闭影响勒索病毒加密文件的进程

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

#调试逆向 #病毒木马

上传的附件：

eae876886f19ba384f55778634a35a1d975414e83f22f6111e3e792f706301fe.rar （32.67kb，103次下载）

收藏・15

免费・2

支持

分享

最新回复 (8)
寒江独钓_ 雪币： 619 活跃值： (1603) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 14 粉丝 38 关注私信	寒江独钓_ 2 楼解压密码Tx797;S_72[$vd9 2022-3-20 18:08 0
dayang 雪币： 220 活跃值： (831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 3 楼图片模糊不清，看不到 2022-3-24 08:32 0
luohaohao 雪币： 300 活跃值： (201) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	luohaohao 4 楼学习学习！谢谢！ 2022-3-28 15:37 0
Barrientos 雪币： 1783 活跃值： (1258) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 2 关注私信	Barrientos 5 楼他们的源码泄露了，你可以找一下 2022-3-28 19:06 0
niuzuoquan 雪币： 300 活跃值： (2672) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 521 粉丝 2 关注私信	niuzuoquan 6 楼 mark 2022-3-28 23:42 0
dayang 雪币： 220 活跃值： (831) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 938 粉丝 1 关注私信	dayang 7 楼 V3 版本中，没有发现关闭SQL等软件的代码，可能你这个样本比较新 2022-4-24 08:00 0
右脸微笑雪币： 90 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	右脸微笑 8 楼您关于这个勒索的补充分析没有了，还没来得及看完 2022-5-1 20:33 0
hackerbob 雪币： 676 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 15 粉丝 0 关注私信	hackerbob 9 楼那个加密函数第一张图太模糊了，看不清 2022-5-1 21:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

寒江独钓_

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区