BlackCat Ransomware 勒索软件分析

zhaorong · 发表于 2022-11-22 10:36:05

一、概述

此次分析的样本是一种勒索软件，属于BlackCat Ransomware家族。兰眼下一代威胁检测系统对该文件的告警信息如下：

BlackCat(又名ALPHV)是一个勒索软件家族，于2021年11月中旬浮出水面，并因其复杂性和创新性而迅速臭名昭著
BlackCat采用勒索软件即服务(RaaS)商业模式，在已知的网络犯罪论坛中招揽附属公司，允许附属公司利用勒索软
件并保留80%-90%的赎金，其余部分将支付给BlackCat作者。

二、分析

2.1 基本信息

2.2 关键行为分析

2.2.1 反沙箱

该样本通过检查DirectX是否正常来判断当前环境是否为真实环境。当IDirect3D9::GetDeviceCaps()方法
返回D3DERR_NOTAVAILABLE(0x8876086A)时，则说明当前环境缺少图形驱动程序和DirectX组件进而
判断当前环境为沙箱。样本相关代码如下：

创建IDirect3D9对象

调用IDirect3D9::GetDeviceCaps() 方法判断设备信息。这里样本通过偏移的方式调用了该方法。

2.2.2 释放文件

该样本在 C:\Users\xxx\ 下释放公钥信息。

文件内容如下：

2.2.3 删除卷影

该样本通过com组件VssModuleKeeper删除卷影'\?\Volume{cd35a174-87d4-11e7-af
cc-806e6f6e6963}。

2.2.4 遍历文件并加密

遍历卷行为:

遍历文件行为：该样本首先获取所有待加密文件的句柄，再执行加密。

加密文件以_encrypted结尾：

该样本将所有待加密文件的内容全部读取到内存，而后在内存中一次性加密，内存占用非常大。

三、总结

本次分析的样本通过调用com组件删除卷影，进而加密文件防止恢复。且其反沙箱手段对qemu沙箱
效果显著近期勒索软件事件频发，各企业机构应当重视网络安全。

		自动登录	找回密码
密码			注册

[网络安全] BlackCat Ransomware 勒索软件分析