如何進(jìn)行XiaoBa勒索病毒變種分析

如何進(jìn)行XiaoBa勒索病毒變種分析，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

概述

XiaoBa勒索病毒，是一種新型電腦病毒，是一款國(guó)產(chǎn)化水平極高的勒索病毒，主要以郵件，程序木馬，網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。倒計(jì)時(shí)200秒還不繳贖金，被加密的文件就會(huì)被全部銷(xiāo)毀。

以上說(shuō)明摘自百度百科，但是我分析的這個(gè)XiaoBa變種并沒(méi)有以上行為特征，不過(guò)它擁有很強(qiáng)的隱蔽性和感染性，并且具有文件加密，文件刪除和挖礦三項(xiàng)主要功能。

樣本分析

此樣本經(jīng)過(guò)微步云沙箱分析（相關(guān)鏈接請(qǐng)參見(jiàn)《參考鏈接》），確認(rèn)為惡意樣本

行為簡(jiǎn)圖

權(quán)限調(diào)整

樣本運(yùn)行之后，首先調(diào)整進(jìn)程權(quán)限，確保自己有足夠的權(quán)限進(jìn)行后續(xù)的操作 

路徑判斷：樣本會(huì)判斷當(dāng)前的執(zhí)行路徑是否在%systemroot%\360\360Safe\deepscan目錄下，如果不在此目錄下則拷貝自身到此目錄并執(zhí)行。如果在此路徑下，將會(huì)首先進(jìn)行一些修改系統(tǒng)設(shè)置相關(guān)的操作：

修改文件屬性

將文件屬性設(shè)置為受保護(hù)的系統(tǒng)文件，需要在“文件夾和搜索選項(xiàng)”中取消“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”選項(xiàng)才可看到

禁用UAC

設(shè)置自啟動(dòng)，創(chuàng)建快捷方式

禁用注冊(cè)表

不顯示隱藏的文件

禁用文件夾和搜素選項(xiàng)

創(chuàng)建自啟動(dòng)

刪除SafeBoot選項(xiàng)

磁盤(pán)遍歷

遍歷磁盤(pán)，在磁盤(pán)根目錄下創(chuàng)建autorun.inf文件，寫(xiě)入如下數(shù)據(jù)，嘗試進(jìn)行U盤(pán)感染，并且少不了的將此文件設(shè)置為隱藏

創(chuàng)建文件夾RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588，并且將自身文件拷貝進(jìn)來(lái)重寫(xiě)hosts文件，重定向安全廠商網(wǎng)址

正題

最后創(chuàng)建線(xiàn)程，在線(xiàn)程函數(shù)中，XiaoBa會(huì)遍歷所有文件，查找擴(kuò)展名為.exe，.com，.scr，.pif，.html，.htm，.gho，.iso的文件， 針對(duì)不同的擴(kuò)展名執(zhí)行不同的操作.exe，.com，.scr，.pif

重寫(xiě)這些文件，將自身文件寫(xiě)入這些文件的開(kāi)頭，后期如果再運(yùn)行這些文件的話(huà)，就會(huì)運(yùn)行ZhuDongFangYu.exe

.html，.htm

在這些文件的末尾添加挖礦腳本

.gho，.iso

對(duì)于這些文件，直接刪除

一個(gè)有意思的點(diǎn)是這個(gè)樣本的圖標(biāo)是360殺毒的圖標(biāo)，創(chuàng)建的文件夾名也是360，而且經(jīng)過(guò)它重寫(xiě)的可執(zhí)行程序的圖標(biāo)都換成了360的圖標(biāo)……

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。