XiaoBa ランサムウェアの亜種を分析する方法

概要

XiaoBa ランサムウェアは、新しいタイプのコンピュータ ウイルスです。高度に国内で製造されたランサムウェア ウイルスです。主に電子メール、プログラムのトロイの木馬、Web ページのハング ホースを通じて拡散します。このウイルスは、さまざまな暗号化アルゴリズムを使用してファイルを暗号化するため、感染者によるファイルの復号化は困難であり、復号化された秘密キーを入手することによってのみウイルスを解読できます。 200 秒以内に身代金が支払われない場合、暗号化されたファイルはすべて破棄されます。

上記の説明は百度百科事典からの引用ですが、私が分析したXiaoBa亜種には上記のような動作特性はありませんが、強力な隠蔽性と感染性があり、ファイルの暗号化、ファイルの削除、マイニングが備わっています。主な機能は3つ。

サンプル分析

このサンプルは Weibu Cloud Sandbox によって分析され (関連リンクについては「参考リンク」を参照)、悪意のあるサンプルであることが確認されました

動作図

権限の調整

サンプルを実行した後、まずプロセスの権限を調整して、十分な権限があることを確認します。以降の操作 操作

このパス 判定: サンプルは現在の実行パスが%systemroot%\ 360 \ 360safe \ deepscan directory. ディレクトリであるかどうかを判断して実行します。このパスにいる場合は、まずシステム設定の変更に関連するいくつかの操作を実行します。

ファイル属性の変更

ファイル属性を保護されたシステム ファイルに設定するには、「」を入力する必要があります。フォルダーを開き、検索オプションの「保護されたオペレーティング システム ファイルを非表示にする (推奨)」オプションのチェックを外して、

UAC を無効にする

自動起動を設定することを確認します。ショートカットの作成

#レジストリを無効にする

#隠しファイルを表示しない

##フォルダーと検索オプションを無効にする

セルフブートを作成する

セーフブート オプションを削除する

ディスク トラバーサル

ディスクをトラバースし、ディスクのルート ディレクトリに autorun.inf ファイルを作成し、次のデータを書き込み、U ディスクへの感染を試みます。そして必然的にこのファイルは非表示に設定されます。セキュリティ メーカーの Web サイト

メイン トピック

最後にスレッドを作成します。スレッド関数では、XiaoBa はすべてのファイルを走査し、.exe、.com、.scr、.pif、 .html、.htm、.gho、.iso ファイルは、拡張子ごとに異なる操作を実行します。.exe、.com、.scr、.pif

は、これらのファイルを書き換えて、独自のファイルをこれらの先頭に書き込みます。後でこれらのファイルを実行すると、ZhuDongFangYu.exe

.html、.htm

が実行されます。マイニング スクリプトを追加します

# これらのファイルの最後にある ##.gho、.iso

これらのファイルについては、直接削除してください

興味深い点は、このサンプルのアイコンは 360 Antivirus のアイコンです 作成 フォルダ名も 360 で書き換えられた実行プログラムのアイコンは 360 のアイコンに置き換えられます...

以上がXiaoBa ランサムウェアの亜種を分析する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。