样本简介

最近接到客户举报,服务器文件被勒索软件加密,联系客户远程应急之后拿到相应的样本,判定该样本为CrySiS家族的最新变种样本。

CrySiS勒索病毒在2017年5月万能密钥被公布之后,消失了一段时间,最近又发现这类勒索病毒的新的变种比较活跃,攻击方法同样是通过远程RDP爆力破解的方式,植入到用户的服务器进行攻击,其加密后的文件的后缀名为.java,由于CrySiS采用AES+RSA的加密方式,目前无法解密,只能等黑客公布新的密钥,分析时发现,之前发现有样本有可能是其他黑客没有拿到源码通过分析CrySiS勒索病毒payload之后进行二进制补丁的生成的,这次发现的样本,在分析的时候里面发现了CrySiS勒索病毒payload的pdb文件路径,有可能是黑客拿到了相关的源码或勒索病毒的作者又开始作案了,如图所示:



而且从文件的编译的时间上来看,样本相对较新,如图所示:

样本行为分析

(1)勒索病毒首先创建互斥变量,防止被多次运行,如图所示:

(2)拷贝自身到相应的目录,相应的目录列表如下:

%windir%\System32
%appdata%
%sh(Startup)%
%sh(Common Startup)%
样本拷贝自身到相应的目录下之后,设置自启动项,如图所示:

同时它还会在样本对应的目录下分别释放一个勒索信息的配置文件Info.hta,并设置为自启动项,用于弹出相应的勒索界面,如下图所示:



(3)枚举电脑里的对应的服务,并结束,如图所示:

相应的服务列表如下所示:

Windows Driver Foundation
User mode Driver Framework
wudfsvc
Windows Update
wuauserv
Security Center
wscsvc
Windows Management
Instrumentation
Winmgmt
Diagnostic Service Host
WdiServiceHost
VMWare Tools
VMTools.Desktop
Window Manager Session Manager

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖