样本行为:
1、样本运行后,会直接获取\\.\PhysicalDrive0的句柄,从第1扇区(偏移为0x0)读取大小为200字节的内容写入到第3扇区(偏移为0x400)中。其目的应该在输入正确密码后,重新恢复原有第1扇区的信息。
2、往第1扇区(偏移为0x0)中写入大小为200字节的MBR敲诈信息(即重启后的开机界面,需要输入正确的密码才能恢复第1扇区)
3、在创建输入密码界面的时候,则会不停的遍历进程比对来实现结束掉任务管理器进程taskmgr.exe,主要是为了守护样本进程防止被任务管理器结束掉。
写入第3扇区 -----00403354 |. E8 FA040000 call 复件_123.00403853
往第1扇区写入MBR敲诈信息 -----00403367 |. E8 E7040000 call 复件_123.00403853
0012F8E4 001D26D0 ASCII "YDBFY5U69MGNSIYD"
