1.勒索樣本在運行后��,首先判斷%LOCALAPPDATA%或%APPDATA%環(huán)境變量是否存在�����,如果存在則將自身復(fù)制到%LOCALAPPDATA%或%APPDATA%目錄�����,如圖所示關(guān)的反匯編代碼如圖
2.復(fù)制自身到%LOCALAPPDATA%或%APPDATA%目錄之后����,進行持久化操作,設(shè)置自啟動項�����,注冊表項為
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck實現(xiàn)開機自啟動���,反匯編代碼如圖所示:
3.通過內(nèi)存解密����,得到如下圖所示的目錄字符串列表:
勒索軟件在進行加密的時候,會判斷是否是以上目錄�����,如果是以上目錄則不進行加密操作����,如圖所示:
4.生成RSA私鑰并使用硬編碼公鑰加密,之后將加密后的密文轉(zhuǎn)換為ASCII碼�����,最后將密文寫入%ALLUSERSPROFILE%變量路徑中��,生成的密鑰ID文件如圖所示:
5.樣本通過RSA算法進行加密���,先通過CryptGenRandom隨機生成一組128位密鑰對�����,然后使用樣本中的硬編碼的256位公鑰生成相應(yīng)的私鑰,最后生成受害用戶的個人ID序列號���,然后加密相應(yīng)的文件夾目錄和擴展名����,并將生成的個人ID序列號寫入到加密文件未尾,如圖所示:
6.用戶感染相應(yīng)的勒索樣本之后���,樣本會加密相應(yīng)的文件夾下的文件�,并生成how_to_back_file.html的超文本文件����,如圖所示:
生成的超文件文件,顯示了個人的ID序列號���,以及惡意軟件作者的聯(lián)系方式����,如圖所示:
7.加密完成之后���,進行自刪除操作�,如圖所示:
