GandCrab v5.2 勒索病毒分析

样本分析

PE基本信息


样本信息


vw5.exe


MD5


b48f9c12805784546168757322a1b77d


SHA256


3ebec93588b67b77545bb9aaf353fc66911c2ea7f4cfee86b93581dea95fabf1


文件大小


93.0kb


编译信息


vs2015

通过od查看,可以看出版本号为5.2

该程序是由vs2015编译的32位可执行程序

病毒修改时间为2019-2-24

该程序未发现加壳信息

执行流程简介

程序首次执行时,会获取本机所有信息,生成勒索ID,如果属于特定地区语言,就不对此电脑进行加密,否则会遍历计算机文件,对文件进行加密,并在同级目录下生成勒索信(-MANUAL.txt)并更换桌面壁纸为特定壁纸,勒索信内容如下:

对样本分析

获取本机的信息

SBOX:

使用以下语言,就不会对本电脑加密


0x419


俄语


0x422


乌克兰语


0x423


比利时语


0x428


塔克吉语


0x42B


亚美尼亚东部


0x42C


阿赛里语(拉丁文)


0x437


格鲁吉亚


0x43F


哈萨克语


0x440


吉尔吉斯西里尔文


0x442


土库曼语


0x443


乌兹别克语(拉丁文)


0x444


塔但语


0x818


罗马尼亚语


0x819


俄罗斯-摩尔多瓦


0x82c


阿赛里语(西里尔文)


0x843


乌兹别克(西尔里文)


0x45A


叙利亚语


0x2801


阿拉伯语(叙利亚)

创建互斥体

RC4加密算法函数

生成用户的公私钥函数

与5做异或运算以后,再计算本机的base64,及RSA加密后的数据

对公钥的加密

创建勒索信,名字以-MANUAL.txt命名

会被加密文件的后缀名

勒索信信息

生成的勒索信不再加密

随机生成加密文件的后缀

病毒生成的桌面

原文地址:https://www.cnblogs.com/whygo/p/11658825.html

时间: 2024-10-09 07:04:19

GandCrab v5.2 勒索病毒分析的相关文章

GANDCRAB V5.2勒索病毒新变种http://gandcrabmfe6mnef.onion

GANDCRAB V5.2勒索病毒新变种http://gandcrabmfe6mnef.onion 请大家做好防御措施 ---= GANDCRAB V5.2 =--- UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION

解密成功GANDCRAB V5.2勒索病毒 成功恢复所有文件 解密工具 方法

上海某公司中了GANDCRAB V5.2勒索病毒,勒索者要求支付1w美金,公司领导不允许向勒索者低头,通过朋友介绍到我们,经过一天的抢救,及时挽回所有丢失数据. GandCrab勒索病毒的V5.1最新版变种,其文件加密算法采用RSA-2048+ salsa20,并且加密共享目录中的文件, 并使用漏洞进程提权还将系统中指定的文档和文件加密为随机字符后缀,然后对用户进行勒索.时至今日,GANDCRAB V5.2勒索病毒已经深入各种网络中,危害着所有网络群体.为防止用户感染该类病毒,我们可以从安全技术

新变种GANDCRAB V5.1勒索病毒恢复http://gandcrabmfe6mnef.onio

解密GANDCRAB V5.1可以处理最新版本 解密成功http://gandcrabmfe6mnef.onion GANDCRAB系列勒索病毒已经升级到GANDCRAB v5.1版本,此版本加密更彻底,危害更广,已经深入到个人普通电脑,所以,大家下载软件的时候,一定要在正规网站下载,并安装杀毒软件,预防病毒深入! 原文地址:http://blog.51cto.com/14090162/2351573

Bitdefender 发布GandCrab V5.2勒索病毒解密工具 (免费)

2018年1月28日,我们的观察分析师在Bitdefender威胁地图上看到了一个小小的点.这是我们每天在Bitdefender看到的数以百万计的点点,但这一点突显了一个新的勒索软件家族的诞生,这些勒索软件将给世界各地的无辜受害者带来巨大的痛苦.同样的情绪在下个月至少会出现50,000次,明年会出现几百万次.它后来被称为"GandCrab". 这个勒索软件系列很可能在前苏联地区运营,到2018年8月占据了勒索软件市场份额的50%以上.GandCrab勒索软件的获取在地下市场被出售给代理

GANDCRAB 5.1、GANDCRAB 5.2勒索病毒

就感染方式而言,GANDCRAB 5.1.5.2与GandCrab勒索软件系列的其余部分没有太大差异.安全研究人员报告了GANDCRAB 5.1.5.2勒索病毒的最新感染文件,通过两种主要方法传播:1.通过文件,上传到受感染的网站.2.通过电子邮件发送给受害者的文件.使用GANDCRAB5.1. 5.2勒索病毒通过电子邮件感染受害者的另一种情况是打开也作为附件发送的Microsoft Word或.PDF文件,但这次假装是发票,收据和其他看似重要的文件,也包含在. ZIP存档.一旦受害者下载并提取

Ransomware勒索病毒分析报告

原文地址:https://www.cnblogs.com/Check-me/p/11847845.html

GANDCRAB V5.0.4 勒索病毒.处理方法sql文件mdf中了后缀

全国爆发GANDCRAB V5.0.4 勒索病毒.中毒后文件打不开,对受害者造成了严重的影响. GANDCRAB v5.0.4病毒 - 信息 GANDCRAB v5.0.4是一种病毒,它会对您的文件进行加密,并在其中留下有关受损计算机设备的赎金说明.敲诈勒索者希望您支付索赔恢复文件的赎金费用.据称之前的GANDCRAB 5.0版本使用CVE-2018-0896漏洞. 这也可以用这个新版本来利用.除上述提及之外,不排除使用其他漏洞和漏洞利用策略. GANDCRAB v5.0.4勒索软件在Windo

GANDCRAB v5.0.4勒索病毒

GandCrab5.0.3升级版本GandCrab5.0.4近期在国内有呈现爆发的趋势,获取到该病毒样本,该变种同样采用RSA AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索.该勒索病毒主要通过RDP爆破.邮件.漏洞.垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起***,会加密局域网共享目录文件夹下的文件.GANDCRAB v5.0.4是恶毒的GandCrab加密病毒的最新版本,它会对您的文件进行加密,并在其中留下有关受损

"WannaCry"勒索病毒用户处置指南

"WannaCry"勒索病毒用户处置指南 原文: http://mp.weixin.qq.com/s/ExsribKum9-AN1ToT10Zog 前言:北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件:众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索:而我国众多行业也是如此,其中又以教育网最为显著,导致部分