此样本收集自网络,旨在通过逆向分析研究勒索软件的行为特点,样本在附件中,感兴趣的可以自行下载分析,但由此造成的一切损失与本人无关,由下载者自行承担由此出现的一切后果。
Conti勒索组织(又名勒索病毒 IOCP),Conti出现于2019年,是一个非常活跃的勒索团伙,本次分析的样本就出自该团伙之手。
导入表显然有鬼,怎么可能只有这么点东西资源中发现勒索信息
sub_401000函数内部病毒对动态链接库以及WindowsAPI进行了加密,严重干扰分析使用GetProcAddress和LoadLibrary获取指定函数地址(一些病毒的常规操作),达到隐形调用API的目的,这也是在导入表中看到只有那么点信息的原因
我们来通过OD动态调试进行验证解密动态链接库解密API字符串通过LoadLibrary和GetProcAddress获取关键函数
删除全部卷影副本禁用影响勒索病毒加密文件的服务关闭影响勒索病毒加密文件的进程
关于IOCP请点击IOCP重点看文件加密函数循环创建线程执行文件加密函数 sub_417DF0
sub_417DF0函数内部
先使用CryptAcquireContext函数用于获取特定加密服务提供程序(CSP) 中特定密钥容器的句柄。CryptImportKey导入密钥CryptGenKey生成随机加密会话密钥或公钥、私钥密钥对CryptExportKey 从加密服务 (CSP) 导出加密密钥或 密钥对使用CryptEncrypt函数对文件内容进行加密,在左下角的内存窗口可以看到原始数据调用CryptEncrypt函数加密后把加密后的内容写入原始文件中
解密后缀名 CONTI
把原始文件名和解密的CONTI进行拼接,组成新的文件名把原文件直接覆盖掉最后将密钥释放
解密勒索文档文件名在各个文件夹下创建勒索文档,并写入勒索信息
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)