一 检测 兰眼下一代威胁检测系统对该文件的告警信息如下: 二 概述 Chaos是一种仍在开发中的勒索软件,在地下黑客论坛上提供,在那里它被宣传为Ryuk的新版本, FBI 曾将其描述为历史上最赚钱的勒索软件。 三 分析 1、基本信息&PE信息 2、基本流程 流程图: 3、关键行为 3.1 检测环境 检测程序集,父进程和当前进程PID是否相等,不符合条件则退出,防止多开。 3.2 伪装为系统文件svchost.exe 检查C:\Users\AppData\Roaming路径下是否有svchost.exe文件,没有就将自身复制到C:\Users\AppData\Roaming路径下,命名为svchost.exe并启动,结束当前进程。 3.3 设置自启动 此处获取启动目录的路径和自身的文件名,拼接在一起并设置为快捷方式。 为快捷方式绑定路径,实现开机自启动。 3.4 文件加密 遍历系统下的盘符,C盘下仅加密用户的文件。 validExtensions中存储的文件后缀名: 获取文件夹中的所有文件路径。 只加密和validExtensions中所存储后缀相同的文件。 对于文件大小小于2117152L的,使用AES-RSA加密数据。 对于文件大小大于2117152L的,对文件写入随机数据,使原文件内容丢失而不可恢复。 3.5 启动命令行关闭系统功能 1.删除windows卷影副本。 2.禁用windows故障修复。 3.删除Windows备份目录。 3.6 复制自身 在所有盘符复制一份自身,并改名为surprise.exe。 3.7 弹出勒索信息 在当前程序运行的位置释放一个名称为read_it.txt的文件并写入messages的数据,延时0.5秒启动,弹出勒索信息。 messages的数据内容: 3.8 设置桌面壁纸 获取Temp文件夹路径,并拼接为jpg格式的文件名,创建并写入数据,最后调用SystemParametersInfo函数设置此文件为桌面壁纸。 4、处置建议 4.1 主要行为 1.删除每个盘符下的surprise.exe文件。 2.删除%APPDATA%文件夹下的svchost.exe文件。 3.删除系统启动文件夹下的快捷方式。 4.打开命令提示符输入“cdedit /set recoveryenabled YES”开启故障修复。 四 总结 - End -
京公网安备 11010802024705号 京ICP备20030588号 Copyright © 兰云科技 www.lanysec.com 版权所有
