如何进行XiaoBa勒索病毒变种分析
概述
XiaoBa勒索病毒,是一种新型电脑病毒,是一款国产化水平极高的勒索病毒,主要以邮件,程序木马,网页挂马的形式进行传播。这种病毒会利用各种加密算法对文件进行加密,导致被感染者难以解密,只有通过获取解密的私钥才可能成功破解。倒计时200秒还不缴赎金,被加密的文件就会被全部销毁。
以上说明摘自百度百科,但是我分析的这个XiaoBa变种并没有以上行为特征,不过它拥有很强的隐蔽性和感染性,并且具有文件加密,文件删除和挖矿三项主要功能。
样本分析此样本经过微步云沙箱分析(相关链接请参见《参考链接》),确认为恶意样本
样本运行之后,首先调整进程权限,确保自己有足够的权限进行后续的操作
路径判断:样本会判断当前的执行路径是否在%systemroot%\360\360Safe\deepscan目录下,如果不在此目录下则拷贝自身到此目录并执行。如果在此路径下,将会首先进行一些修改系统设置相关的操作:
修改文件属性将文件属性设置为受保护的系统文件,需要在“文件夹和搜索选项”中取消“隐藏受保护的操作系统文件(推荐)”选项才可看到
禁用UAC设置自启动,创建快捷方式禁用注册表不显示隐藏的文件禁用文件夹和搜素选项创建自启动删除SafeBoot选项磁盘遍历遍历磁盘,在磁盘根目录下创建autorun.inf文件,写入如下数据,尝试进行U盘感染,并且少不了的将此文件设置为隐藏
创建文件夹RECYCLER\S-5-4-62-7581032776-5377505530-562822366-6588,并且将自身文件拷贝进来重写hosts文件,重定向安全厂商网址
正题最后创建线程,在线程函数中,XiaoBa会遍历所有文件,查找扩展名为.exe,.com,.scr,.pif,.html,.htm,.gho,.iso的文件, 针对不同的扩展名执行不同的操作.exe,.com,.scr,.pif
重写这些文件,将自身文件写入这些文件的开头,后期如果再运行这些文件的话,就会运行ZhuDongFangYu.exe
.html,.htm
在这些文件的末尾添加挖矿脚本
.gho,.iso
对于这些文件,直接删除
一个有意思的点是这个样本的图标是360杀毒的图标,创建的文件夹名也是360,而且经过它重写的可执行程序的图标都换成了360的图标……
随着互联网的普及,网络安全问题变得越来越严重。针对数据强加加密的勒索病毒成为网络安全的最大威胁之一。其中,XiaoBa勒索病毒的变种极为常见。本文将介绍如何对XiaoBa勒索病毒进行有效分析,以帮助企业和个人提高网络安全水平。
一、了解XiaoBa勒索病毒变种的传播方式
首先,我们需要了解勒索病毒的传播方式。一般来说,恶意程序可以通过邮件附件、不安全的网站等途径进入我们的设备中。XiaoBa勒索病毒变种通过USB传播是其独特之处。黑客将病毒送到傻瓜式USB中,当受害者插入U盘后,病毒会自动运行,对设备内文件进行加密,实现勒索财产的目的。因此,要避免受到XiaoBa勒索病毒的攻击,我们需要时刻保持警惕,尽量避免使用不明来源的U盘或其他可移动存储设备。
二、如何分析XiaoBa勒索病毒变种的典型行为
其次,了解和分析勒索病毒的典型行为是分析其变种的重要步骤之一。具体来说,我们可以使用反病毒软件来检测和清除XiaoBa勒索病毒,在这个过程中,可以发现其加密文件、修改注册表等典型行为。另外,对勒索病毒的沙盒分析和网络行为分析也是很有效的方法。借助专业工具的支持,我们可以更加全面地了解XiaoBa勒索病毒的特征,从而有效地进行下一步防范和打击。
三、挖掘黑客用心技术的三原则
最后,我们需要挖掘黑客用心的技术手段,以便增强我们的安全防御。为了有效识别XiaoBa勒索病毒变种,我们需要熟悉其加密算法、网络通信和恶意代码等技术细节。这需要我们具备严谨的技术背景和透彻的安全认知。同时,网络安全是一项日新月异的战斗,我们需要密切关注技术发展,不断学习新的防御手段和攻击技术。最后,我们应该尽可能了解黑客的心理和行为方式,这对发现和预防未知攻击非常重要。
总之,要分析XiaoBa勒索病毒变种,我们需要综合运用安全软件、安全意识和专业知识等多个方面。唯有如此,才能在网络安全领域中取得长足的进步。
