Crysis样本分析
CrySiS勒索病毒,又称Dharma,首次出现是在2016年,2017年5月此勒索病毒万能密钥被公布之后,之前的样本可以解密,导致此勒索病毒曾消失了一段时间,这里我选择了其中一个早期的样本进行分析
sha256:55f111fa13c58f4e6eb6f9828621a463944b7de26fa09cff5a38c31f457def7d
样本:
密码:threatbook
获取函数地址
该Crysis样本的系统函数调用均是通过GetProcAddress动态获得其地址
先通过简单的异或函数解密出需要的函数符号,再调用sub_406E10函数一一获得对应的函数地址并赋给相应的指针
产生随机数
然后开始初始化随机数,随机数产生的过程比较复杂
通过rdtsc,QueryPerformanceCounter,GetTickCount,当前进程id运算后再进行sha1,然后再进行几轮类似的运算,最后把产生的随机数存放在0x4186b0
判断系统版本
判断系统版本,如果大于win2k则继续运行
杀死进程服务
杀死特定的系统服务与进程
FirebirdGuardianDefaultInstance;
FirebirdServerDefaultInstance;
sqlwriter;
mssqlserver;
sqlserveradhelper;
1c8.exe;1cv77.exe;outlook.exe;postgres.exe;mysqld-nt.exe;mysqld.exe;sqlservr.exe
基本上都是跟数据库相关的
实现自启动
拷贝自身到指定目录,同时写注册表实现自启动
写注册表:
拷贝自身到指定目录:
删除备份
通过vsadmin删除卷影副本备份
枚举加密
先枚举网络共享资源,再枚举本地磁盘
创建新线程,getLogicaDrives遍历盘符
若对应磁盘存在,遍历文件
生成密钥,并创建新线程加密
判断后缀名,如果满足,生成密钥同样方法生成16字节iv
1cd;3ds;3fr;3g2;3gp;7z;accda;accdb;accdc;accde;accdt;accdw;adb;adp;ai;ai3;ai4;ai5;ai6;ai7;ai8;anim;arw;as;asa;asc;ascx;asm;asmx;asp;aspx;asr;asx;avi;avs;backup;bak;bay;bd;bin;bmp;bz2;c;cdr;cer;cf;cfc;cfm;cfml;cfu;chm;cin;class;clx;config;cpp;cr2;crt;crw;cs;css;csv;cub;dae;dat;db;dbf;dbx;dc3;dcm;dcr;der;dib;dic;dif;divx;djvu;dng;doc;docm;docx;dot;dotm;dotx;dpx;dqy;dsn;dt;dtd;dwg;dwt;dx;dxf;edml;efd;elf;emf;emz;epf;eps;epsf;epsp;erf;exr;f4v;fido;flm;flv;frm;fxg;geo;gif;grs;gz;h;hdr;hpp;hta;htc;htm;html;icb;ics;iff;inc;indd;ini;iqy;j2c;j2k;java;jp2;jpc;jpe;jpeg;jpf;jpg;jpx;js;jsf;json;jsp;kdc;kmz;kwm;lasso;lbi;lgf;lgp;log;m1v;m4a;m4v;max;md;mda;mdb;mde;mdf;mdw;mef;mft;mfw;mht;mhtml;mka;mkidx;mkv;mos;mov;mp3;mp4;mpeg;mpg;mpv;mrw;msg;mxl;myd;myi;nef;nrw;obj;odb;odc;odm;odp;ods;oft;one;onepkg;onetoc2;opt;oqy;orf;p12;p7b;p7c;pam;pbm;pct;pcx;pdd;pdf;pdp;pef;pem;pff;pfm;pfx;pgm;php;php3;php4;php5;phtml;pict;pl;pls;pm;png;pnm;pot;potm;potx;ppa;ppam;ppm;pps;ppsm;ppt;pptm;pptx;prn;ps;psb;psd;pst;ptx;pub;pwm;pxr;py;qt;r3d;raf;rar;raw;rdf;rgbe;rle;rqy;rss;rtf;rw2;rwl;safe;sct;sdpx;shtm;shtml;slk;sln;sql;sr2;srf;srw;ssi;st;stm;svg;svgz;swf;tab;tar;tbb;tbi;tbk;tdi;tga;thmx;tif;tiff;tld;torrent;tpl;txt;u3d;udl;uxdc;vb;vbs;vcs;vda;vdr;vdw;vdx;vrp;vsd;vss;vst;vsw;vsx;vtm;vtml;vtx;wb2;wav;wbm;wbmp;wim;wmf;wml;wmv;wpd;wps;x3f;xl;xla;xlam;xlk;xlm;xls;xlsb;xlsm;xlsx;xlt;xltm;xltx;xlw;xml;xps;xsd;xsf;xsl;xslt;xsn;xtp;xtp2;xyze;xz;zip;
依据文件大小,分别进行不同处理,加密方法为aes-256-cbc,自己慢慢逆向,T表优化
加密完成后,会在文件后面附上原文件名,IV值,系统识别号,RSA加密的aes key等信息
弹出勒索对话框
往桌面、磁盘根目录写入FILES ENCRYPT.txt
内容如下:
all your data has been locked us
You want to return?
write email amaya_payne2@aol.com or nikki.lond2@aol.com
往Startup目录写入Info.hta,实现开机自动弹出,其实就是个html文件,调用mshta.exe执行
效果如下:
