本文共 971 字，大约阅读时间需要 3 分钟。

病毒信息与分析报告：Kraken_2.0.7.exe勒索病毒

初步分析

Kraken_2.0.7.exe是一种勒索病毒。根据app.any.run的分析，该病毒具有以下行为特征：

• 穷举系统中的进程列表并执行Bat脚本
• 加密用户文件，使用 desconactive 恢复软件无法恢复
• 删除自身文件

病毒行为细节

• � обязанstd Howe分析显示，该病毒操作过程中涉及多线程：
  • Class7.smethod8负责获取受害者IP地址并通过HTTP发送数据至2no.co/2SVJa5
  • Class7.smethod29用于下载并设置Tor浏览器及代理配置
  • Class15.smethod0负责文件加密逻辑
  • Class15.smethod1提取和解密版本信息

File加密机制

加密过程涉及多个关键步骤：

Static Analysis

• 该病毒采用.NET 编写并使用混淆技术（Babel）
• 使用de4dot反混淆工具提取清晰代码
• 进一步使用dnspy分析获取详细行为逻辑
• Key函数：
  • Class22.smethod0用于解密字符串
  • Class15.method0主控加密流程

文件加密规则

• 根据驱动器类型决定加密策略
• 对于可用空间足够的磁盘选择随机分区加密
• 目录文件递归加密且不影响正常系统运行
• 加密时存储加密信息便于后续处理

Dynamic Behavior

• 病毒通过Tor匿名网络与C2通信
• 定期发送心跳数据确认通信状态
• 实施分级加密策略根据文件大小分组加密
• 使用Random化加密参数提高加密难度

File Encryption Process

• 初始检查文件路径及磁盘空间
• 生成随机密钥和IV
• 使用 sha256 计算文件认证标识符
• CBC 模式加密核心文件
• 随机写入加密信息扩展文件

Defense Method

• 安装专业反病毒软件
• 频繁进行在线病毒扫描
• 使用虚拟化技术运行杀毒工具
• 定期进行系统备份
• 禁用自动启动未知程序

总结

该病毒采用综合防护措施：

• 高效加密算法
• 动态C2通信机制
• 隐蔽加密参数
• 复杂反调试技术
• 适应性加密策略

建议

• Regular,.Router模式防护
• 定期进行系统还原测试

转载地址：http://zjpqz.baihongyu.com/