首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
1
2
1'"
3
1'
4
张靓颖
5
kN
6
朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
7
抖音
8
@artag
9
@亘古
10
朱令
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
1
2
1'"
3
1'
4
张靓颖
5
kN
6
朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
7
抖音
8
@artag
9
@亘古
10
朱令
分类
社会
娱乐
国际
人权
科技
经济
其它
宾曰语云被法学教授投诉:严重侵权,“违法犯罪”!
京东Plus的隐藏特权,很多会员都没领取,白交了会员费...
呼吁四川大学澄清:1998年1月,川大有多少个“姜涛与爱人程月玲”?
二湘:朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻
96岁的朱总理
生成图片,分享到微信朋友圈
查看原文
其他
Conti勒索病毒分析报告
天融信
2022-05-08
在互联网黑色产业治理的推进过程中,CNCERT于2019年捕获勒索病毒73.1万余个,较2018年增长超过4倍,勒索病毒活跃程度持续居高不下。
近日,天融信EDR团队捕获到名为Conti的勒索软件恶意样本。该病毒通过钓鱼邮件等方式传播,启动后,通过命令停止与安全性、备份有关的Windows服务,然后通过RSA-4096和32位Hash随机散列的方式对文件进行加密,并删除磁盘卷影副本以防止受害者恢复加密文件。经验证,天融信EDR可有效预防和检测该勒索病毒的恶意行为。
病毒分析
该病毒编译时间为
2020年10月10日
星期六下午4:53:57。
进行逆向分析时,通过解析病毒文件格式提取到如下关键内容信息。
根据VS的Main函数入口特征定位到病毒的Main函数。
进入Main函数后,发现该病毒对Windows API进行了加密隐藏,严重干扰逆向分析。
首先,该病毒执行初始化函数,解密出要加载的模块名,通过PEB动态加载所需API的偏移地址,整体逻辑如下:
获取的地址为Windows API入口点地址向后偏移两个字节。
动态加载每个dll中的API。
通过调用API函数为每个加载的dll创建文件映射以解析文件格式,并将解析文件中对应的导出函数加载到内存。
创建文件内存映射以读取动态链接库的数据。
映射完成后,动态加载模块中的导出函数。
创建名为“lslaif8aisuuugnzxbvmdjk”的互斥体,以防止程序多开。
创建相同恶意线程两次,用于导入嵌入在文件中的RSA-4096公钥。
将RSA-4096公钥导入CSP,用于后续加密。
收集当前系统信息。
申请内存,并将字符串ROOT\CIMV2拷贝到新内存。
调用CMD并启动WMIC程序,根据CLSID删除磁盘卷影副本。
创建线程用于加密磁盘文件。
判断是否为需加密文件的目录。
创建随机数种子,通过Hash散列辅助加密。
调用CryptEncrypt API函数加密数据。
勒索病毒将.CONTI扩展名附加到加密文件中。
在每个文件夹中生成一个名为CONTI_README.txt的勒索信息。
防护建议
1) 已安装天融信EDR的用户,可快速精准识别并防御该勒索病毒。
2) 未安装天融信EDR的用户,可试用企业版或下载单机版对该勒索病毒进行检测与查杀。
3) 不要点击来源不明的邮件附件,不要访问可疑的网址。
4) 定期修改登录口令。
5) 定期备份电脑中的重要文件资料到移动硬盘或U盘上。
6) 及时修复系统漏洞。
天融信EDR获取方式
1) 天融信EDR企业版试用:通过天融信分支机构获取。
(查询网址:http://www.topsec.com.cn/contact/)
2) 天融信EDR单机版下载地址:
http://edr.topsec.com.cn/
热·点·推·荐
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存