nRansom

nRansom v2 Analysis: http://blog.xsecantivirus.com/2017/09/nransom-v2/
nRansom v3 Analysis: http://xywcloud.blogspot.com/2017/10/nransom-v3.html

A very funny "ransomware", but I think we can only call it "LockScreen"(or WinLock).

Load into Exeinfo PE
PureBasic Compiler? After I saw this, I would like to guess it was wrapped with "BAT2EXE"
Now, let's run it in Sandboxie.
Files in sandbox
Well, what I guess is right. It seems that the actual malicious file is written by .NET, let's load it into decompiler.
Critical function
Oh, the unlock code is hardcoded, its value is "12345", seems like a joke.

Malware Sample URL: http://bbs.kafan.cn/thread-2103564-1-1.html

Related MD5:
9A60890FC062D10D826C31D049706AB7
773776263762568ED199228579FE4A54
X-Sec Antivirus Detection:
Cloud Engine: Cloud:Trojan.Win32.LockScreen
Local Engine: Trojan.Win32.nRansom.A!GEN(Only for the final payload)
Required Virus Definition Version: 2017.09.25.01(Not released when this blog published)

Comments

Post a Comment

Popular posts from this blog

Behavior-based Signature Changelog

About a week ago, I started to deploy Cuckoo Sandbox on my old laptop(I would like to use it as Cloud Analysis for X-Sec Antivirus in the future) and I finished deployment on 31th Mar. 2018.

After a overview of Cuckoo Community signature, I found that the signatures can't meet my need, so it's time to create extra signatures to enhance malware detection.

Due to the lack of official document, create a signature usually costs me 3~4 hours, but it doesn't matter, the time will be reduced after I'm proficient in doing it.

Here is the signature changelog.

+ -> add
↑ -> improve/bugfix
- -> remove
× -> try to add signature but failed/unnecessary to add signature

Already Covered Malware Families:

RevetRat
RevCode
Quasar
Pony(Fareit)
AZORult
Backdoor(Generic Detection)
Injector(Generic Detection)
Nitol
DotnetCrypter
DelfCrypter
Tinba
NsisInject
Ransomware(Generic Detection)
Adware.Downloader
Hancitor
Panda(Banker)
Betabot
Trickbot
InfoStealer(Generic Detection)
Nesh…
Read more

满血满魔,原地复活!

好了,满血满魔,原地复活!
帝都某处的一场大火,再加上人口控制的压力,让整个帝都的外来人员都陷入了恐慌之中。
当然,我也属于这群人中的一个,虽然情况相比起来算是好很多的,但是仍然是有概率“中奖”的。
实际上我并没有“中奖”,但是在某一刻,我感觉我自己和“大奖”擦肩而过。
与其等着概率性被拆,不如主动行动起来去寻找新的住处。现在一切恢复正常,我换了一间非隔断的房间,今天一下午把所有东西搬了过去。
明天还有一天的缓冲时间,还有一些事情需要处理,剩下的时间可以好好休息下,准备周三恢复正常工作,还有正常的生活。
===============================
与“大奖”擦肩而过的那一刻:
我在第n轮搬东西的时候,下电梯正好碰到几个人,戴着什么工作证之类的,当时就感觉情况有些不妙。走出大厅后听见几个常住居民在外面议论那堆人进去干嘛,有几个人就说应该是来检查群租房的...
Read more

糟糕的合租环境上网体验

续上篇:http://xywcloud.blogspot.com/2017/12/blog-post.html
后来,我还是按照dalao的推荐购买了国内加速,每次开机手动开启两个SS,公司里仍然只开一个。
根据这么长一段时间的实测,我发现我所处的这个网络环境,下行带宽峰值大概为50M,谷值则为20M左右,谷值通常发生在晚上。而晚上,是我们三户使用网络最频繁的时候。
在我刚搬进来的时候,我们三户用着平台提供的TP缩水王路由器,TL-WR842N,好像是这个型号,V8,路由器内存仅16M。然后我们三户除了我对这方面稍有些了解,其余两户那就是一窍不通。
有一户的一个人的手机是菊花牌的(你懂我意思吧?),不知为何,那台手机我在路由器后台观察的时候,上传流量竟然达到了惊人的2M/s,然后过了几分钟,路由器炸了...根本扛不住。
考虑到单纯限速并不能完全解决问题,同时菊花机在未root情况下这种东西想控制起来也并非易事,正好另外那户闲置了一个路由器,仍然是TP缩水王的,咨询了下我朋友,这台路由器是早期版本,缩水没那么严重,有128M大内存。我喜出望外,征得那户人的同意之后,迅速更换了路由器。
只不过事情并没有那么简单,不然我也不会把这事拿到博客里来说。
我们三户,我这边很少看视频(手机、PC都不咋看),平时偶尔打打MOBA类手游。
另外两户,都有观看高清视频的需求(手机、PC均有),而且那两户每户都是2人
看到这里或许你就会明白怎么回事了,带宽争夺大战一触即发,只要有2台以上设备在看视频,对整个网络那就是场灾难,别说玩MOBA手游了,刷个微博看个网页都是不停转圈圈...
虽然我在群里提到了相关的事情,但是另外两户似乎并没有意识到具体的原因,只知道一到晚上,网速就很慢。
我的需求其实很简单:最小带宽保障+小包优先,除此之外能有一些其他的配置会更好,只不过太多的话我也折腾不起,毕竟时间有限。
为此,我前几天向我朋友请教了下,一开始一个朋友最后向我推荐了TP缩水王的某个老型号,里面的QoS模块支持“最小带宽保障”。只不过后来请教了另一个朋友,他最后跟我推荐...
于是我在二手东上买了小米路由器mini,拿回来就刷机(沉迷刷机,无法自拔)。
刷开发版->刷ssh->刷breed->刷pandorabox、lede、石像鬼...
pandorabox因不明bug无法…
Read more