HellCat勒索样本分析

样本详情

1
2
3
4
MD5931396d6332709956237cf76ee246b01
SHA-1:b834d9dbe2aed69e0b1545890f0be6f89b2a53c7       
SHA-2565b492a70c2bbded7286528316d402c89ae5514162d2988b17d6434ead5c8c274
大小: 18432 字节
image-20250402165644127

样本分析

首先样本需要接受参数,如果没有参数传入程序会直接退出。然后初始化 AES 加密算法,解码并导入RSA公钥;设置绕过的文件后缀。

image-20250403093523235 image-20250403093719904

传入的第一个参数如果是/d,则会解析下一个参数为指定路径进行加密;如果不是/d则会对所有驱动器进行加密。

image-20250403093017088

样本之后会启动多线程任务对指定目录下的文件进行批量加密,其中会过滤系统文件、\\Windows\\System32目录、_README_.txt以及.dll.sys.exe.drv.com.cat尾缀的文件,并创建_README_.txt勒索信文件。

image-20250403094839650

加密文件之前会检查文件最后13个字节,判断文件是否已经被加密过。

image-20250403095234052

文件加密过程首先是随机生成AES对称密钥和初始向量iv,再使用RSA公钥AES加密对称密钥,使用AES对文件进行加密,最后将加密后的AES加密对称密钥、iv、文件大小、特征码等信息写到文件末尾。

image-20250403100310782

加密完成后生成_-_.bat删除样本和bat文件自身,并打开勒索信文件。

image-20250403101221359

参考

https://www.sentinelone.com/blog/hellcat-and-morpheus-two-brands-one-payload-as-ransomware-affiliates-drop-identical-code/

https://www.bridewell.com/insights/blogs/detail/who-are-hellcat-ransomware-group

https://www.solarsecurity.cn/family?id=37

样本分析
#HellCat
HellCat勒索样本分析
http://wangchenchina.github.io/2025/04/03/HellCat勒索样本分析/
作者
Demo
发布于
2025年4月3日
许可协议