-
-
[原创]Conti勒索软件分析
-
发表于: 2022-3-20 18:06
-
此样本收集自网络,旨在通过逆向分析研究勒索软件的行为特点,样本在附件中,感兴趣的可以自行下载分析,但由此造成的一切损失与本人无关,由下载者自行承担由此出现的一切后果。
Conti勒索组织(又名勒索病毒 IOCP),Conti出现于2019年,是一个非常活跃的勒索团伙,本次分析的样本就出自该团伙之手。
导入表显然有鬼,怎么可能只有这么点东西
资源中发现勒索信息
sub_401000函数内部
病毒对动态链接库以及WindowsAPI进行了加密,严重干扰分析
使用GetProcAddress和LoadLibrary获取指定函数地址(一些病毒的常规操作),达到隐形调用API的目的,这也是在导入表中看到只有那么点信息的原因
我们来通过OD动态调试进行验证
解密动态链接库
解密API字符串
通过LoadLibrary和GetProcAddress获取关键函数
删除全部卷影副本
禁用影响勒索病毒加密文件的服务
关闭影响勒索病毒加密文件的进程
关于IOCP请点击IOCP
重点看文件加密函数
循环创建线程执行文件加密函数 sub_417DF0
sub_417DF0函数内部
先使用CryptAcquireContext函数用于获取特定加密服务提供程序(CSP) 中特定密钥容器的句柄。
CryptImportKey导入密钥
CryptGenKey生成随机加密会话密钥或公钥、私钥密钥对
CryptExportKey 从加密服务 (CSP) 导出加密密钥或 密钥对
使用CryptEncrypt函数对文件内容进行加密,在左下角的内存窗口可以看到原始数据
调用CryptEncrypt函数加密后
把加密后的内容写入原始文件中
解密后缀名 CONTI
把原始文件名和解密的CONTI进行拼接,组成新的文件名
把原文件直接覆盖掉
最后将密钥释放
解密勒索文档文件名
在各个文件夹下创建勒索文档,并写入勒索信息
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
您关于这个勒索的补充分析没有了,还没来得及看完
|
|
|
|
