首页
社区
课程
招聘
[原创]Conti勒索软件分析
发表于: 2022-3-20 18:06 15729

[原创]Conti勒索软件分析

2022-3-20 18:06
15729

此样本收集自网络,旨在通过逆向分析研究勒索软件的行为特点,样本在附件中,感兴趣的可以自行下载分析,但由此造成的一切损失与本人无关,由下载者自行承担由此出现的一切后果。

Conti勒索组织(又名勒索病毒 IOCP),Conti出现于2019年,是一个非常活跃的勒索团伙,本次分析的样本就出自该团伙之手。

图片描述

导入表显然有鬼,怎么可能只有这么点东西
图片描述
资源中发现勒索信息
图片描述

图片描述
sub_401000函数内部
病毒对动态链接库以及WindowsAPI进行了加密,严重干扰分析
图片描述
使用GetProcAddress和LoadLibrary获取指定函数地址(一些病毒的常规操作),达到隐形调用API的目的,这也是在导入表中看到只有那么点信息的原因
图片描述

我们来通过OD动态调试进行验证
解密动态链接库
图片描述
解密API字符串
图片描述
通过LoadLibrary和GetProcAddress获取关键函数
图片描述

图片描述
删除全部卷影副本
图片描述
禁用影响勒索病毒加密文件的服务
图片描述
图片描述
关闭影响勒索病毒加密文件的进程
图片描述

关于IOCP请点击IOCP
图片描述
重点看文件加密函数
循环创建线程执行文件加密函数 sub_417DF0
图片描述

sub_417DF0函数内部
图片描述
图片描述

先使用CryptAcquireContext函数用于获取特定加密服务提供程序(CSP) 中特定密钥容器的句柄。
图片描述
CryptImportKey导入密钥
图片描述
CryptGenKey生成随机加密会话密钥或公钥、私钥密钥对
图片描述
CryptExportKey 从加密服务 (CSP) 导出加密密钥或 密钥对
图片描述
使用CryptEncrypt函数对文件内容进行加密,在左下角的内存窗口可以看到原始数据
图片描述
调用CryptEncrypt函数加密后
图片描述
把加密后的内容写入原始文件中
图片描述

解密后缀名 CONTI
图片描述

把原始文件名和解密的CONTI进行拼接,组成新的文件名
图片描述
把原文件直接覆盖掉
图片描述
图片描述
最后将密钥释放
图片描述

图片描述
解密勒索文档文件名
图片描述
在各个文件夹下创建勒索文档,并写入勒索信息
图片描述
图片描述


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 2
支持
分享
最新回复 (8)
雪    币: 619
活跃值: (1603)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
解压密码Tx797;S_72[$vd9
2022-3-20 18:08
0
雪    币: 220
活跃值: (766)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
图片模糊不清,看不到
2022-3-24 08:32
0
雪    币: 300
活跃值: (201)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
学习学习!谢谢!
2022-3-28 15:37
0
雪    币: 1783
活跃值: (1193)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
他们的源码泄露了,你可以找一下
2022-3-28 19:06
0
雪    币: 300
活跃值: (2532)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
mark
2022-3-28 23:42
0
雪    币: 220
活跃值: (766)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
V3 版本中,没有发现关闭SQL等软件的代码,可能你这个样本比较新
2022-4-24 08:00
0
雪    币: 65
活跃值: (33)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
您关于这个勒索的补充分析没有了,还没来得及看完
2022-5-1 20:33
0
雪    币: 676
活跃值: (322)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
那个加密函数第一张图太模糊了,看不清
2022-5-1 21:55
0
游客
登录 | 注册 方可回帖
返回
//