病毒詳細(xì)分析

病毒首先初始化，判斷該用戶是否為管理員賬號(hào)：

獲取計(jì)算機(jī)系統(tǒng)的相關(guān)信息保存到log文件中，日志文件命令格式為.exe.log，此日志文件包含有關(guān)機(jī)器、用戶、域、已終止進(jìn)程和服務(wù)以及每個(gè)文件狀態(tài)（如果已加密或跳過(guò)）的信息：

進(jìn)行提權(quán)操作：

提供PROV_RSA_FULL類(lèi)型加密密鑰，即RSA密鑰，用于對(duì)數(shù)據(jù)進(jìn)行加密操作：

CPGenKey為生成加密密鑰的函數(shù)，用于后續(xù)對(duì)數(shù)據(jù)進(jìn)行加密操作：

停止服務(wù)，避免影響文件加密：

遍歷進(jìn)程，包含惡意軟件分析工具、Microsoft Office、瀏覽器和數(shù)據(jù)庫(kù)等進(jìn)程，結(jié)束這些進(jìn)程，防止進(jìn)程占用影響加密文件：

將提供的變量遞增為量子操作，創(chuàng)建加密線程：

遍歷文件和目錄以便進(jìn)行加密：

創(chuàng)建勒索信，并寫(xiě)入勒索信內(nèi)容：

釋放勒索信，加密文件添加.quantum后綴：

將文件屬性設(shè)置為隱藏，設(shè)置信號(hào)狀態(tài)：

遍歷磁盤(pán)信息，與加密相同，包含本地磁盤(pán)以及網(wǎng)絡(luò)磁盤(pán)：

信號(hào)量的增減操作，設(shè)置信號(hào)狀態(tài)：

與網(wǎng)絡(luò)資源建立連接，將本地設(shè)備重定向到網(wǎng)絡(luò)資源，枚舉網(wǎng)絡(luò)資源，用于傳播病毒文件：

獲取域控信息，綁定ADSI對(duì)象，通過(guò)域控賬號(hào)傳播病毒文件：

進(jìn)行身份驗(yàn)證：

在確認(rèn)憑證有效后，通過(guò)將勒索軟件二進(jìn)制文件復(fù)制到其他機(jī)器的c$\windows\temp\共享文件夾開(kāi)始在網(wǎng)絡(luò)中傳播：

拷貝自身到共享目錄文件夾：

刪除自身：

遍歷進(jìn)程

遍歷惡意軟件分析工具、Microsoft Office、瀏覽器和數(shù)據(jù)庫(kù)等相關(guān)進(jìn)程名：

加密算法

文件加密使用Salsa20 + RSA，在Salsa20對(duì)文件加密后，再將Salsa20密鑰通過(guò)RSA公鑰加密后，置于文件末尾。

加密流程

加密前初始化，生成加密密鑰：

勒索加密函數(shù)：

通過(guò)Salsa20算法以1M為每輪加密區(qū)塊大小對(duì)文件進(jìn)行加密。Salsa20常見(jiàn)特征標(biāo)志位“expand 32-byte k"，在本次加密算法中出現(xiàn)：

使用隨機(jī)密鑰對(duì)文件進(jìn)行加密：

將加密使用的密鑰通過(guò)RSA算法加密后，置于文件末尾，完成文件加密。