XiaoBa 랜섬웨어 변종을 분석하는 방법

개요

XiaoBa 랜섬웨어는 새로운 유형의 컴퓨터 바이러스로 국내에서 많이 생산되는 랜섬웨어 바이러스로 주로 이메일, 프로그램 트로이목마, 웹페이지 트로이목마 등의 형태로 유포됩니다. 이 바이러스는 다양한 암호화 알고리즘을 사용하여 파일을 암호화하므로, 감염된 사람이 해독된 개인 키를 획득해야만 바이러스를 해독할 수 있습니다. 200초 이내에 몸값을 지불하지 않으면 암호화된 파일은 모두 파기됩니다.

위 설명은 Baidu Encyclopedia에서 발췌한 것입니다. 그러나 제가 분석한 XiaoBa 변종은 위의 행동 특성을 가지고 있지 않습니다. 그러나 강력한 은폐성과 감염성을 가지며 파일 암호화, 파일 삭제, 마이닝의 세 가지 주요 기능을 가지고 있습니다.

샘플 분석

이 샘플은 Weibu Cloud Sandbox(관련 링크는 "참조 링크" 참조)로 분석되었으며 악성 샘플로 확인되었습니다

행동 다이어그램

권한 조정

샘플 실행 후 먼저 프로세스 권한을 조정하여 후속 작업에 충분한 권한이 있는지 확인하세요

                                                                                          경로 판단: 샘플은 현재 실행 경로가 %systemroot%360360Safedeepscan 디렉터리에 있는지 여부를 판단합니다. 이 디렉토리에 자신을 복사하고 실행하십시오. 이 경로에 있는 경우 먼저 시스템 설정 수정과 관련된 몇 가지 작업을 수행하게 됩니다.

파일 속성 수정

파일 속성을 보호된 시스템 파일로 설정합니다. "폴더 및 검색 옵션"에서 "보호된 시스템 파일 숨기기"를 취소해야 합니다. "보호된 운영 체제 파일(권장)" 옵션만 표시됩니다

UAC 비활성화

자동 시작 설정, 바로가기 만들기

레지스트리 비활성화

숨겨진 파일 표시 안 함

폴더 및 검색 옵션 비활성화

자동 실행 만들기

SafeBoot 옵션 제거

디스크 탐색

디스크를 탐색하고 루트 디렉터리에 autorun.inf 파일을 만듭니다. 디스크와 write 다음 데이터를 입력하고, USB 디스크를 감염시키려고 시도하면, 필연적으로 이 파일을 숨김으로 설정합니다

RECYCLERS-5-4-62-7581032776-5377505530-562822366-6588 폴더를 생성하고, 자신의 파일을 복사하여 다시 쓰기 호스트 파일, 보안 제조업체 웹사이트

원래 주제

마지막으로 스레드를 생성합니다. 스레드 기능에서 XiaoBa는 모든 파일을 탐색하여 .exe, .com, .scr, .pif, .html 확장자를 찾습니다. .htm, .gho , .iso 파일은 .exe, .com, .scr, .pif

이러한 파일을 다시 작성하고 이러한 파일의 시작 부분에 자신의 파일을 작성합니다. 나중에 ZhuDongFangYu.exe

.html, .htm

이 파일 끝에 마이닝 스크립트

.gho, .iso

를 추가합니다. 이러한 파일의 경우 직접 삭제하세요

.

흥미로운 점은 이 샘플의 아이콘이 360 Antivirus의 아이콘이고, 생성된 폴더의 이름도 360이며, 이에 의해 다시 작성된 실행 프로그램의 아이콘이 360 아이콘으로 대체되었다는 점이 핵심입니다. .

위 내용은 XiaoBa 랜섬웨어 변종을 분석하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!