国产精品久av福利在线观看_亚洲一区国产精品_亚洲黄色一区二区三区_欧美成人xxxx_国产精品www_xxxxx欧美_国产精品久久婷婷六月丁香_国产特级毛片

 GandCrab于2018年年初問世，主要利用RDP爆破、釣魚郵件、捆綁軟件、僵尸網絡、CVE-2017-8570漏洞利用等方式進行攻擊，此家族病毒采用Salsa20和RSA-2048算法對文件進行加密，并修改文件后為.GDCB、.GRAB、.KRAB或5-10位隨機字母，將感染主機桌面背景替換為勒索信息圖片。GandCrab5.1之前版本可嘗試使用解密工具解密，最新GandCrab5.2無法解密。老勒索家族了，所以我在公開的威脅情報上找了一個最新被上傳的樣本做簡要分析。
 
加殼情況
文件未加殼
 
互斥體
互斥體名稱：Global\pc_group=WORKGROUP&ransom id=79e2d4c8a42336Gb

 
 
關進程
遍歷并關閉所列舉的進程，防止文件在加密過程中被占用
 
 
獲取系統(tǒng)信息

通過注冊表檢查了當前用戶組，所在地區(qū)，操作系統(tǒng)，系統(tǒng)版本號，CPU信息，以及磁盤類型和磁盤容量
 
 
 
 
 
惡意外聯(lián)

通過GET和POST請求外聯(lián)惡意域名
 
 
發(fā)起一個HTTP請求操作，首先通過HttpAddRequestHeadersW函數(shù)添加HTTP請求頭參數(shù)，然后通過HttpSendReqst函數(shù)發(fā)送HTTP請求，并且獲取HTTP響應。如果HttpSendRequestW函數(shù)返回真，則繼續(xù)從網絡資源獲取響應數(shù)據(jù)，函數(shù)InternetReadFile通過指定HTTP連接句柄v15來獲取http數(shù)據(jù)，讀取到的數(shù)據(jù)存放在v16所指的緩存區(qū)，讀取的字節(jié)數(shù)為a7 - 1，同時返回完整的服務器名稱到lpszServerName中。其中，函數(shù)返回的結果被用于判斷HTTP請求是否成功，如果成功，就繼續(xù)從網絡資源獲取數(shù)據(jù)，如果失敗，則通過函數(shù)GetLastError獲取錯誤信息。
 
 
 
當前域名已無法訪問
 
設置注冊表信息
 
加密部分
使用CryptGenKey生成RSA的公私鑰對，之后用CryptExportKey導出
 
 
 
使用FindFirstFileW和FindNextFileW接口遍歷文件目錄下的所有文件進行加密，并釋放出勒索信
 
 
 
 
加密過程中注入到系統(tǒng)advapi32.dll
 
刪除卷影

刪除卷影拷貝，防止用戶恢復原文件