一、概述
此次分析的样本是一种勒索软件,属于BlackCat Ransomware家族。兰眼下一代威胁检测系统对该文件的告警信息如下:
BlackCat(又名ALPHV)是一个勒索软件家族,于2021年11月中旬浮出水面,并因其复杂性和创新性而迅速臭名昭著
BlackCat采用勒索软件即服务(RaaS)商业模式,在已知的网络犯罪论坛中招揽附属公司,允许附属公司利用勒索软
件并保留80%-90%的赎金,其余部分将支付给BlackCat作者。
二、分析
2.1 基本信息
2.2 关键行为分析
2.2.1 反沙箱
该样本通过检查DirectX是否正常来判断当前环境是否为真实环境。当IDirect3D9::GetDeviceCaps()方法
返回D3DERR_NOTAVAILABLE(0x8876086A)时,则说明当前环境缺少图形驱动程序和DirectX组件进而
判断当前环境为沙箱。样本相关代码如下:
创建IDirect3D9对象
调用IDirect3D9::GetDeviceCaps() 方法判断设备信息。这里样本通过偏移的方式调用了该方法。
2.2.2 释放文件
该样本在 C:\Users\xxx\ 下释放公钥信息。
文件内容如下:
2.2.3 删除卷影
该样本通过com组件VssModuleKeeper删除卷影'\?\Volume{cd35a174-87d4-11e7-af
cc-806e6f6e6963}。
2.2.4 遍历文件并加密
遍历卷行为:
遍历文件行为:该样本首先获取所有待加密文件的句柄,再执行加密。
加密文件以_encrypted结尾:
该样本将所有待加密文件的内容全部读取到内存,而后在内存中一次性加密,内存占用非常大。
三、总结
本次分析的样本通过调用com组件删除卷影,进而加密文件防止恢复。且其反沙箱手段对qemu沙箱
效果显著近期勒索软件事件频发,各企业机构应当重视网络安全。