nRansom

nRansom v2 Analysis: http://blog.xsecantivirus.com/2017/09/nransom-v2/
nRansom v3 Analysis: http://xywcloud.blogspot.com/2017/10/nransom-v3.html

A very funny "ransomware", but I think we can only call it "LockScreen"(or WinLock).

Load into Exeinfo PE
PureBasic Compiler? After I saw this, I would like to guess it was wrapped with "BAT2EXE"
Now, let's run it in Sandboxie.
Files in sandbox
Well, what I guess is right. It seems that the actual malicious file is written by .NET, let's load it into decompiler.
Critical function
Oh, the unlock code is hardcoded, its value is "12345", seems like a joke.

Malware Sample URL: http://bbs.kafan.cn/thread-2103564-1-1.html

Related MD5:
9A60890FC062D10D826C31D049706AB7
773776263762568ED199228579FE4A54
X-Sec Antivirus Detection:
Cloud Engine: Cloud:Trojan.Win32.LockScreen
Local Engine: Trojan.Win32.nRansom.A!GEN(Only for the final payload)
Required Virus Definition Version: 2017.09.25.01(Not released when this blog published)

Comments

Post a Comment

Popular posts from this blog

DTLMiner

Here is the timeline of DTLMiner, I'm working for Rising Antivirus and monitoring this malware. For more details please refer to links at the end of this blog. 2020.11.06 Windows Update Lateral Movement New Spreading Method: Oracle WebLogic Unauthorized Command Execution(CVE-2020-14882) 2020.10.12 Change download url of Pyinstaller version of Lateral Movement module 2020.09.10 Windows Update 3rd-stage script Copy and rename powershell executable before starting other modules to avoid detection 2020.08.18 Windows Update Killer module Try to use "route" tool to block mining process's network access 2020.08.12 Windows Update mining module Update embedded mining pool domain 2020.08.06 Windows Update Lateral Movement New Spreading Method: Hadoop Yarn REST API Unauthorized Access 2020.08.03 Linux Update 2nd-stage script Add codes for uninstalling Aliyun Aegis and Tencent YunJing Extract SSH credentials from more paths 2020.07.24 Windows Update 1st-stage script Add WMI
Read more

当宽带运营商恶心人的时候...

Image
其实写这篇博文也属一时兴起,导火索其实是今天晚上我租住的地方使用的方正宽带炸了,一晚上连不上网,包括我现在写这篇博文也是用手机开热点给笔记本上网,然后才能来写。 直接按我使用的宽带的先后顺序一个个来说吧 中信 联通下属二级运营商,很多流氓行为都是二级运营商先开发出来的。暂且不讨论局域网热门资源缓存这个有利有弊的东西,说说它其他恶心到我的地方。 一个是很多二级运营商都会干的事儿——页面强X广告,中信的话是页面强X广告脚本 至于另一个,可能就真的有些恶心了。直接上图。 当然,这发生在百度启用HSTS之前。现在百度启用了HSTS,这种手段自然失效了。 其实我看不惯这破宽带很久了(买的4M宽带,后来得知是8M分给3家用),证据收集的差不多了,早就想投诉了。只不过当我差不多下定决心的时候,我爸妈终于决定更换我家的宽带,此事便也作罢。 电信 其实我对电信的印象还是挺不错的。只不过它的校园宽带——闪讯,着实是恶心了我一把(只不过校园宽带的价格的确实惠,而且带宽也是实打实的,说20M就是20M,就是可以跑满极限2.5M/s的下载速度)。 暂且不提闪讯客户端对于WiFi共享软件的各种限制(于是各种闪讯拨号器,乃至于带心跳包的,都陆续上线了。当然,还有各种定制版OpenWRT的路由器固件)以及它本身那恶心的内存占用问题(老版本,开8个小时,占用内存便可上1G。惊不惊喜,意不意外?新版本好多了),我们来提提别的东西。 闪讯在我在校期间第一次耍流氓是在大三快放寒假的时候,某次联网之后你会发现闪讯目录下多了一堆东西,同时每次连上网之后都会有程序在屏幕右下角提示浏览器主页已被锁定为360网址导航... 上面的截图是闪讯下载来的组件(当然那张图片不算) 恶意程序采用了应用层的进程监视和注入,并且32位和64位分开处理。 这种事情对于我来说显然不能忍,于是我一怒之下选择直接去工信部投诉。电信认怂的速度也很快,立马派人来我那边看具体的情况,后面我还接到了电信相关工作人员的电话。只不过电话那头的人似乎态度不咋地,然后我选择直接把他们的凛时工(不要问我为什么写错字,已经习惯这样子写了)写出来恶意程序的大致工作流程在电话里说了一遍,接着对方陷入了沉默。 之后,恶意程序被撤了下来,某次联网后主程序被替换成了空文件。 只不过事情并没有
Read more

一些有趣的自写的行为签名

这篇文章才应该是随时有可能更新的文章,记得偶尔来看看,指不定就更新了 :-) 2020.09.18 17:07 cryptomining_cmdline 好久没更新了呢,现在再来看,很多规则的名字都被我改过了(为了统一风格)。 这玩意儿,本来Cuckoo官方规则有,用来检测挖矿程序的命令行,但是在我第n次排查的时候,发现这玩意明显考虑的不到位,只考虑了门罗币挖矿的情况。 于是,第一次大改的时候,我为它引入了各种币的钱包地址的正则表达式(原始规则里只有门罗币钱包地址的正则表达式),同时还引入了一些挖矿程序专有的命令行。 本以为就万事大吉了,谁知道我忽视了一点:有些钱包地址其实和各种哈希值长得差不多。 于是,我在后台就看到一堆MD5文件名命中了这条规则...场面一度十分尴尬。 单纯匹配钱包地址是不行的,还得首尾配上空格。 ========== 2018.10.01 16:20 dotnetRunPE 众所周知,RunPE是一种极其常见的进程注入手法。甚至有部分厂商还推出了RunPE的检测工具,如 https://www.phrozen.io/freeware/runpe-detector/ 。 因此,部分.NET混淆工具也得跟上时代潮流啊,将RunPE这个技巧也作为保护程序代码的一个部分(然后各大国际知名反病毒厂商开始大杀特杀)。 至于这条签名,则是用来检测样本是否在进行代码保护处理时使用了这项技术。由于Cuckoo的社区签名库里已有RunPE的检测规则,因此在这条规则匹配的基础上加入一些其他条件即可。 ========== 2018.09.09 23:37 antisandbox_sleep_zero 又是一条反沙盒检测的签名,其实从某种角度上来说应该是反虚拟机检测的签名。 原理也非常的粗暴,单纯检测NtDelayExecution的参数是否为0. 至于为什么有这条规则,纯粹是因为某个样本产生了近十万次类似的行为。 差点有一条行为签名就要依赖本条签名了,后来想想不大合适,于是作罢。 ========== 2018.09.01 16:05 antivm_timeduration 这条签名就是我之前提到的最先使用行为序列判断的签名,也是用来检测病毒常用的反虚拟机手段的一条签名。 众所周知,虚拟机的运行效率是要低于真实机器的。于是病毒制作者想出一招,先获取当前时间,然后休
Read more