1、前言
一個Radamant勒索樣本,到手分析時C&C服務器已經失效,分析過程修改了本機DNS解析來完成具體行為分析。樣本比較簡單,沒有反調試虛擬機等手段,適合新手練習,熟悉勒索病毒常用操作后可以加快分析進度。
2、樣本信息
樣本名稱:Radamant
樣本類型:Win32 EXE
樣本大小:154.43 KB (158134 bytes)
加殼信息: 無
微軟命名:Ransom:Win32/Radamcrypt.A
MD5 校驗值: e62d58a48f3aca29acd535c3ae4b7ce1
SHA1 校驗值:e58d5804d3134b6e0557d2210253d8914320a35a
SHA-256校驗值:93e7f890967b26fb1c19e92bd9340922871c1726e3416201cf0eac86e4cb3499
3、詳細分析
3.1 流程圖
3.2 模塊一
獲取系統信息,計算MD5,用於標識當前主機
1 //加密前: 2 32.SUNSET-PC.C:\Windows.1.586.36364.{e29ac6c0-7037-11de-816d-806e6f6e6963}.Undocked Profile.6.1.7601.84 3 //加密后: 4 ab6d6f404fe847eb7245bf85326a4ff2
通過"checkip.dyndns.org",獲取本機IP
AES_CBC解密"hatred.pw"域名
自定義DNS服務器,解析"hatred.pw"域名IP
3.3 模塊二
C&C通訊,獲取控制指令
執行控制指令
【6:】過濾特定指令,並自刪除
【: 】注冊表自啟動
【0:】上傳本機數據(RSA密鑰對)
【1:】加密數據(AES+RSA)
【2:】解密數據(AES+RSA)
3.4 模塊三
刪除卷影,防止數據恢復
瀏覽器顯示提示信息(服務器失效,請求失敗)
