XiaoBa勒索病毒,是一種新型電腦病毒,是一款國產化程度極高的勒索病毒,主要以郵件,程式木馬,網頁掛馬的形式進行傳播。這種病毒會利用各種加密演算法對檔案進行加密,導致被感染者難以解密,只有透過取得解密的私鑰才可能成功破解。倒數200秒還不繳贖金,被加密的文件就會被全部銷毀。
以上說明摘自百度百科,但是我分析的這個XiaoBa變種並沒有以上行為特徵,不過它擁有很強的隱蔽性和感染性,並且具有文件加密,文件刪除和挖礦三項主要功能。
此樣本經過微步雲沙箱分析(相關連結請參考《參考連結》),確認為惡意樣本
##行為簡圖
權限調整#樣本運行之後,先調整進程權限,確保自己有足夠的權限進行後續的操作 #路徑判斷:範例目錄並執行。如果在此路徑下,將會先進行一些修改系統設定相關的操作:修改文件屬性將檔案屬性設定為受保護的系統文件,需要在「資料夾和搜尋選項」中取消「隱藏受保護的作業系統檔案(建議)」選項才可看到
磁碟遍歷
遍歷磁碟,在磁碟根目錄下創建autorun.inf文件,寫入如下數據,嘗試進行U盤感染,並且少不了的將此文件設定為隱藏
建立資料夾RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,並將自身檔案拷貝進來重寫hosts檔案,重定向安全廠商網址正題最後創建線程,在線程函數中,XiaoBa會遍歷所有文件,查找擴展名為.exe,.com,.scr,.pif,.html,.htm,.gho ,.iso的文件, 針對不同的擴展名執行不同的操作.exe,.com,.scr,.pif重寫這些文件,將自身文件寫入這些文件的開頭,後期如果再執行這些檔案的話,就會執行ZhuDongFangYu.exe #.html,.htm在這些檔案的末端加入挖礦腳本#.gho,.iso
###對於這些文件,直接刪除################一個有意思的點是這個樣本的圖標是360殺毒的圖標,創建的資料夾名稱也是360,經過它重寫的可執行程式的圖示都換成了360的圖示…############以上是如何進行XiaoBa勒索病毒變種分析的詳細內容。更多資訊請關注PHP中文網其他相關文章!