BlackCat Ransomware 勒索软件分析

	一、概述 此次分析的样本是一种勒索软件，属于BlackCat Ransomware家族。兰眼下一代威胁检测系统对该文件的告警信息如下： BlackCat(又名ALPHV)是一个勒索软件家族，于2021年11月中旬浮出水面，并因其复杂性和创新性而迅速臭名昭著 BlackCat采用勒索软件即服务(RaaS)商业模式，在已知的网络犯罪论坛中招揽附属公司，允许附属公司利用勒索软 件并保留80%-90%的赎金，其余部分将支付给BlackCat作者。 二、分析 2.1 基本信息 2.2 关键行为分析 2.2.1 反沙箱 该样本通过检查DirectX是否正常来判断当前环境是否为真实环境。当IDirect3D9::GetDeviceCaps()方法 返回D3DERR_NOTAVAILABLE(0x8876086A)时，则说明当前环境缺少图形驱动程序和DirectX组件进而 判断当前环境为沙箱。样本相关代码如下： 创建IDirect3D9对象 调用IDirect3D9::GetDeviceCaps() 方法判断设备信息。这里样本通过偏移的方式调用了该方法。 2.2.2 释放文件 该样本在 C:\Users\xxx\ 下释放公钥信息。 文件内容如下： 2.2.3 删除卷影 该样本通过com组件VssModuleKeeper删除卷影'\?\Volume{cd35a174-87d4-11e7-af cc-806e6f6e6963}。 2.2.4 遍历文件并加密 遍历卷行为: 遍历文件行为：该样本首先获取所有待加密文件的句柄，再执行加密。 加密文件以_encrypted结尾： 该样本将所有待加密文件的内容全部读取到内存，而后在内存中一次性加密，内存占用非常大。 三、总结 本次分析的样本通过调用com组件删除卷影，进而加密文件防止恢复。且其反沙箱手段对qemu沙箱 效果显著近期勒索软件事件频发，各企业机构应当重视网络安全。