概述
xiaoba勒索病毒,是一種新型電腦病毒,是一款國產(chǎn)化水平極高的勒索病毒,主要以郵件,程序木馬,網(wǎng)頁掛馬的形式進行傳播。這種病毒會利用各種加密算法對文件進行加密,導致被感染者難以解密,只有通過獲取解密的私鑰才可能成功破解。倒計時200秒還不繳贖金,被加密的文件就會被全部銷毀。
以上說明摘自百度百科,但是我分析的這個XiaoBa變種并沒有以上行為特征,不過它擁有很強的隱蔽性和感染性,并且具有文件加密,文件刪除和挖礦三項主要功能。
樣本分析
此樣本經(jīng)過微步云沙箱分析(相關鏈接請參見《參考鏈接》),確認為惡意樣本
行為簡圖
權限調(diào)整
樣本運行之后,首先調(diào)整進程權限,確保自己有足夠的權限進行后續(xù)的操作?
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 
路徑判斷:樣本會判斷當前的執(zhí)行路徑是否在%systemroot%360360Safedeepscan目錄下,如果不在此目錄下則拷貝自身到此目錄并執(zhí)行。如果在此路徑下,將會首先進行一些修改系統(tǒng)設置相關的操作:
修改文件屬性
將文件屬性設置為受保護的系統(tǒng)文件,需要在“文件夾和搜索選項”中取消“隱藏受保護的操作系統(tǒng)文件(推薦)”選項才可看到
禁用UAC
設置自啟動,創(chuàng)建快捷方式
禁用注冊表
不顯示隱藏的文件
禁用文件夾和搜素選項
創(chuàng)建自啟動
刪除SafeBoot選項
磁盤遍歷
遍歷磁盤,在磁盤根目錄下創(chuàng)建autorun.inf文件,寫入如下數(shù)據(jù),嘗試進行U盤感染,并且少不了的將此文件設置為隱藏
創(chuàng)建文件夾RECYCLERS-5-4-62-7581032776-5377505530-562822366-6588,并且將自身文件拷貝進來重寫hosts文件,重定向安全廠商網(wǎng)址
正題
最后創(chuàng)建線程,在線程函數(shù)中,XiaoBa會遍歷所有文件,查找擴展名為.exe,.com,.scr,.pif,.html,.htm,.gho,.iso的文件, 針對不同的擴展名執(zhí)行不同的操作.exe,.com,.scr,.pif
重寫這些文件,將自身文件寫入這些文件的開頭,后期如果再運行這些文件的話,就會運行ZhuDongFangYu.exe
.html,.htm
在這些文件的末尾添加挖礦腳本
.gho,.iso
對于這些文件,直接刪除
一個有意思的點是這個樣本的圖標是360殺毒的圖標,創(chuàng)建的文件夾名也是360,而且經(jīng)過它重寫的可執(zhí)行程序的圖標都換成了360的圖標……
